Enterprise management and software risk prediction based on security metrics

Abstract

This thesis focuses on the holistic management of the challenges and risks modern enterprises face. Specifically, we present and analyze the approach "Governance, Risk and Compliance" and the role of audit as a tool to improve the approach.Furthermore, the requirements for constant updates on new risk factors, such as additions or changes to corporate assets and information about new vulnerabilities and threats combined with the complexity of information security systems, motivated us to research on security metrics that allow for automated and isomorphic analysis of the security content. In the context of security metrics and due to the increasing interest in measuring vulnerability severity, we highlight the corresponding qualitative, quantitative and hybrid methods. Moreover, in an attempt to improve user confidence in software, we present software development models that aim to maximize software maturity. In parallel, software quality standards are presented and we study the behaviour of software versions to conclude when each version is at its best form. Last but not least, emphasis is given in software risk prediction as means to protect information security infrastructures. For this purpose, we present the first of its kind, risk prediction methodology on the basis of vulnerability prediction. Specifically, a variety of stochastic methods and SCAP (Security Content Automation Protocol) specifications are utilized to predict trends in vulnerabilities, threats and damages. In this context, we initiate a new terminology, zero-day risk, to estimate future risks in a real-time basis, maximizing in this way available resources and controls.

Η παρούσα διατριβή εστιάζει στην ολιστική διαχείριση των προκλήσεων και κινδύνων που αντιμετωπίζει η σύγχρονη επιχείρηση. Συγκεκριμένα, παρουσιάζεται και αναλύεται η προσέγγιση «Διακυβέρνηση, Επικινδυνότητα και Συμμόρφωση» καθώς και ο ρόλος της ελεγκτικής ως εργαλείο βελτίωσης της προσέγγισης. Επιπλέον, η απαίτηση για συνεχή ενημέρωση σχετικά με νέους παράγοντες επικινδυνότητας, δηλαδή προσθήκες ή αλλαγές στα εταιρικά περιουσιακά στοιχεία αλλά και ενημέρωση για νέες ευπάθειες και απειλές σε συνδυασμό με την πολυπλοκότητα της ασφάλειας των πληροφοριακών συστημάτων (Π.Σ.), ώθησαν στην μελέτη μετρικών ασφάλειας που επιτρέπουν την αυτοματοποιημένη και ισομορφική ανάλυση περιεχόμενου ασφάλειας. Στο πλαίσιο των μετρικών ασφάλειας και λόγω του αυξανόμενου ενδιαφέροντος στη μέτρηση σπουδαιότητας των ευπαθειών, αναδεικνύονται οι αντίστοιχες ποιοτικές, ποσοτικές και υβριδικές μέθοδοι.Στη συνέχεια και στην προσπάθεια βελτίωσης της εμπιστοσύνης στο λογισμικό, παρουσιάζονται μοντέλα ανάπτυξης λογισμικού που στόχο έχουν τη μεγιστοποίηση της ωριμότητας λογισμικού. Παράλληλα γίνεται αναφορά στα πρότυπα ποιότητας λογισμικού και παρατίθεται πρωτότυπη μελέτη ανάλυσης συμπεριφοράς εκδόσεων λογισμικού με στόχο την ανάδειξη βέλτιστης χρήσης. Στο τέλος δίνεται έμφαση στην πρόβλεψη επικινδυνότητας λογισμικού με στόχο την προστασία των πληροφοριακών υποδομών. Για τον σκοπό αυτό, παρουσιάζεται αναλυτικά η, πρώτη στο είδος της, μεθοδολογία πρόβλεψης επικινδυνότητας στη βάση της πρόβλεψης ευπαθειών. Συγκεκριμένα, εφαρμόζονται μία ποικιλία από στοχαστικές μέθοδοι και αυτοματοποιημένες προδιαγραφές ασφάλειας SCAP (Security Content Automation Protocol) με στόχο την πρόβλεψη τάσεων ευπαθειών, απειλών και κινδύνων σε πραγματικό χρόνο και προς όφελος της βέλτιστης διαχείρισης πηγών και αντιμέτρων.