Economics of cybersecurity Measuring security levels Michel - - PowerPoint PPT Presentation

economics of cybersecurity
SMART_READER_LITE
LIVE PREVIEW

Economics of cybersecurity Measuring security levels Michel - - PowerPoint PPT Presentation

Mar 10, 2023 106 likes •217 views

Economics of cybersecurity Measuring security levels Michel van Eeten Del. University of Technology Security produc=vity What is measurable? Security level

slide-1
SLIDE 1

Michel ¡van ¡Eeten ¡

  • Del. ¡University ¡of ¡Technology ¡

Economics ¡of ¡cybersecurity ¡

Measuring ¡security ¡levels ¡

slide-2
SLIDE 2

Security ¡produc=vity ¡

slide-3
SLIDE 3

§ Security ¡level ¡is ¡a ¡‘latent ¡construct’, ¡ like ¡human ¡intelligence ¡ § It ¡cannot ¡be ¡observed ¡or ¡measured ¡ directly ¡ § We ¡can ¡only ¡measure ¡indicators ¡or ¡ metrics ¡that ¡reflect ¡different ¡ aspects ¡of ¡the ¡latent ¡construct, ¡like ¡ an ¡IQ ¡test ¡does ¡for ¡intelligence ¡ § Together, ¡the ¡metrics ¡give ¡us ¡an ¡ es=ma=on ¡of ¡the ¡security ¡level ¡

¡

What ¡is ¡measurable? ¡

slide-4
SLIDE 4

Types ¡of ¡metrics ¡

w/o ¡threat ¡ environment ¡ with ¡threat ¡ environment ¡

Controls ¡ Vulnerabili=es ¡ Incidents ¡ (Prevented) ¡ Losses ¡

slide-5
SLIDE 5

§ Controls ¡are ¡the ¡measures ¡you ¡ put ¡in ¡place ¡to ¡mi=gate ¡risk ¡ § Different ¡types: ¡

§ Physical ¡ ¡

§ e.g., ¡door ¡locks ¡

§ Organiza=onal ¡

§ e.g., ¡incident ¡response ¡team ¡

§ Procedural ¡

§ e.g., ¡creden=als ¡policy ¡

§ Technical ¡ ¡

§ e.g., ¡data ¡encryp=on, ¡firewalls ¡

Controls ¡

slide-6
SLIDE 6

§ Weaknesses ¡in ¡the ¡controls ¡that ¡ could ¡be ¡leveraged ¡by ¡a ¡certain ¡ type ¡of ¡aUack ¡ § Known ¡and ¡unknown ¡

§ Finding ¡known ¡vulnerabili=es: ¡ vulnerability ¡scanners, ¡CERT ¡alerts, ¡

  • etc. ¡

§ Finding ¡unknown ¡vulnerabili=es: ¡ penetra=on ¡tes=ng, ¡red ¡teaming, ¡

  • etc. ¡

Vulnerabili=es ¡

slide-7
SLIDE 7

§ Events ¡where ¡security ¡is ¡ compromised ¡in ¡some ¡form ¡ § Here, ¡controls ¡meet ¡actual ¡aUacks, ¡ instead ¡of ¡poten=al ¡aUacks ¡ § Some ¡are ¡easy ¡to ¡detect, ¡others ¡ hard ¡

§ Automated ¡tools ¡event ¡monitoring ¡ systems ¡can ¡help, ¡but ¡also ¡generate ¡ large ¡volumes ¡of ¡alarms ¡ § Some ¡successful ¡aUacks ¡go ¡ undetected ¡for ¡months ¡or ¡even ¡years ¡

Incidents ¡

slide-8
SLIDE 8

§ Mapping ¡incidents ¡to ¡losses ¡is ¡hard ¡ § Mapping ¡prevented ¡incidents ¡to ¡ prevented ¡losses ¡even ¡harder ¡ § How ¡to ¡measure ¡non-­‑events? ¡ § Did ¡incidents ¡fall ¡because ¡of ¡failed ¡ aUacks ¡or ¡fewer ¡aUacks? ¡ § Examples: ¡

§ dropping ¡fraud ¡levels ¡ § lower ¡recovery ¡costs ¡

Prevented ¡losses ¡

slide-9
SLIDE 9

Types ¡of ¡metrics ¡

Controls ¡ Vulnerabili=es ¡ Incidents ¡ (Prevented) ¡ Losses ¡

w/o ¡threat ¡ environment ¡ with ¡threat ¡ environment ¡ determinis=c ¡ stochas=c ¡ ac=on ¡ driven ¡ event ¡ ¡ driven ¡

slide-10
SLIDE 10

Thank ¡you ¡for ¡your ¡aUen=on! ¡

Please ¡post ¡any ¡ques=ons ¡you ¡may ¡have ¡

  • n ¡our ¡discussion ¡forum. ¡