economics of cybersecurity
play

Economics of cybersecurity Measuring security levels Michel - PowerPoint PPT Presentation

Economics of cybersecurity Measuring security levels Michel van Eeten Del. University of Technology Security produc=vity What is measurable? Security level


  1. Economics ¡of ¡cybersecurity ¡ Measuring ¡security ¡levels ¡ Michel ¡van ¡Eeten ¡ Del. ¡University ¡of ¡Technology ¡

  2. Security ¡produc=vity ¡

  3. What ¡is ¡measurable? ¡ Security ¡level ¡is ¡a ¡‘latent ¡construct’, ¡ § like ¡human ¡intelligence ¡ It ¡cannot ¡be ¡observed ¡or ¡measured ¡ § directly ¡ We ¡can ¡only ¡measure ¡indicators ¡or ¡ § metrics ¡that ¡reflect ¡different ¡ aspects ¡of ¡the ¡latent ¡construct, ¡like ¡ an ¡IQ ¡test ¡does ¡for ¡intelligence ¡ Together, ¡the ¡metrics ¡give ¡us ¡an ¡ § es=ma=on ¡of ¡the ¡security ¡level ¡ ¡

  4. Types ¡of ¡metrics ¡ Controls ¡ Vulnerabili=es ¡ Incidents ¡ (Prevented) ¡ Losses ¡ w/o ¡threat ¡ with ¡threat ¡ environment ¡ environment ¡

  5. Controls ¡ Controls ¡are ¡the ¡measures ¡you ¡ § put ¡in ¡place ¡to ¡mi=gate ¡risk ¡ Different ¡types: ¡ § Physical ¡ ¡ § § e.g., ¡door ¡locks ¡ Organiza=onal ¡ § § e.g., ¡incident ¡response ¡team ¡ Procedural ¡ § § e.g., ¡creden=als ¡policy ¡ Technical ¡ ¡ § § e.g., ¡data ¡encryp=on, ¡firewalls ¡

  6. Vulnerabili=es ¡ Weaknesses ¡in ¡the ¡controls ¡that ¡ § could ¡be ¡leveraged ¡by ¡a ¡certain ¡ type ¡of ¡aUack ¡ Known ¡and ¡unknown ¡ § Finding ¡known ¡vulnerabili=es: ¡ § vulnerability ¡scanners, ¡CERT ¡alerts, ¡ etc. ¡ Finding ¡unknown ¡vulnerabili=es: ¡ § penetra=on ¡tes=ng, ¡red ¡teaming, ¡ etc. ¡

  7. Incidents ¡ Events ¡where ¡security ¡is ¡ § compromised ¡in ¡some ¡form ¡ Here, ¡controls ¡meet ¡actual ¡aUacks, ¡ § instead ¡of ¡poten=al ¡aUacks ¡ Some ¡are ¡easy ¡to ¡detect, ¡others ¡ § hard ¡ Automated ¡tools ¡event ¡monitoring ¡ § systems ¡can ¡help, ¡but ¡also ¡generate ¡ large ¡volumes ¡of ¡alarms ¡ Some ¡successful ¡aUacks ¡go ¡ § undetected ¡for ¡months ¡or ¡even ¡years ¡

  8. Prevented ¡losses ¡ Mapping ¡incidents ¡to ¡losses ¡is ¡hard ¡ § Mapping ¡prevented ¡incidents ¡to ¡ § prevented ¡losses ¡even ¡harder ¡ How ¡to ¡measure ¡non-­‑events? ¡ § Did ¡incidents ¡fall ¡because ¡of ¡failed ¡ § aUacks ¡or ¡fewer ¡aUacks? ¡ Examples: ¡ § dropping ¡fraud ¡levels ¡ § lower ¡recovery ¡costs ¡ §

  9. Types ¡of ¡metrics ¡ Controls ¡ Vulnerabili=es ¡ Incidents ¡ (Prevented) ¡ Losses ¡ w/o ¡threat ¡ with ¡threat ¡ environment ¡ environment ¡ determinis=c ¡ stochas=c ¡ ac=on ¡ event ¡ ¡ driven ¡ driven ¡

  10. Thank ¡you ¡for ¡your ¡aUen=on! ¡ Please ¡post ¡any ¡ques=ons ¡you ¡may ¡have ¡ on ¡our ¡discussion ¡forum. ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend


More recommend