Πλαίσιο κουλτούρας κυβερνοασφάλειας με πρακτική εφαρμογή σε κρίσιμες υποδομές

Abstract

The PhD dissertation at hand presents a cybersecurity culture framework for assessing the current security readiness of an organization's workforce. Having carried out a thorough review of the most commonly used security frameworks, we identify the key human-related security elements and classify them by constructing a generalized security culture model. Next, we define each element of the model and highlight quantitative factors in order to determine a comprehensive evaluation methodology.Next, we proceed by relating the proposed cybersecurity culture model with two commonly acceptable and recognizable security models:- Insider Threat: Insider threat has been recognized by both scientific community and security professionals as one of the gravest security hazards for private companies, institutions, and governmental organizations. Extended research on the types, associated internal and external factors, detection approaches and mitigation strategies has been conducted over the last decades. Various frameworks have been introduced in an attempt to understand and reflect the danger posed by this threat, whereas multiple identified cases have been classified in private or public databases. The proposed cybersecurity culture framework with a clear focus on the human factor can assist in detecting possible threats of both malicious and unintentional insiders. Examining technical, behavioural, cultural, and personal indicators helps identify potential security risks posed by humans.- MITRE ATT&CK: The MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) Framework provides a rich and actionable repository of adversarial tactics, techniques, and procedures. Its usage extends from adversary emulation, red teaming, behavioural analytics development to a defensive gap and SOC (Security Operations Centre) maturity assessment. While extensive research has been done on analysing specific attacks or specific organizational culture and human behaviour factors leading to such attacks, a holistic view on the association of both is currently missing. This dissertation exploits MITRE ATT&CK’s possibilities towards a scientific direction that has not yet been explored: security assessment and defensive design, a step prior to its current application domain. The proposed cybersecurity culture framework was initially designed to target critical infrastructures and, more specifically, the energy sector. Organizations of these domains exhibit a co-existence and strong interaction of the IT (Information Technology) and OT (Operational Technology) networks. As a result, we emphasize our scientific effort on the hybrid MITRE ATT&CK for Enterprise and ICS (Industrial Control Systems) model as a broader and more holistic approach.The ultimate goal of the above relations is to develop a cybersecurity culture framework capable of assessing the current state of a critical infrastructure by identifying gaps and weaknesses and suggesting countermeasures, recommendations and alternative approaches including workforce training programs.The cybersecurity culture framework is designed to be easily adapted to a variety of business areas with a particular emphasis on the critical infrastructures which need to obey to a number of strict regulations. This dissertation contains extensive applications of the cybersecurity culture framework to critical infrastructures, providing information on the planning, targeting and adaptation of assessment campaigns in each case according to the goals and objectives they are called to fulfil. Their results and findings are analysed in depth, highlighting and emphasizing the importance of adopting a multidimensional and multi-disciplinary human-oriented cybersecurity culture model by co-examining internal and external factors.

Η παρούσα διατριβή παρουσιάζει ένα πλαίσιο κουλτούρας κυβερνοασφάλειας για την αξιολόγηση της τρέχουσας ετοιμότητας κυβερνοασφάλειας του εργατικού δυναμικού ενός οργανισμού. Έχοντας πραγματοποιήσει μια ενδελεχή ανασκόπηση των πιο συχνά χρησιμοποιούμενων πλαισίων ασφαλείας, προσδιορίζουμε τα βασικά στοιχεία ασφάλειας που σχετίζονται με τον ανθρώπινο παράγοντα και τα ταξινομούμε κατασκευάζοντας ένα γενικευμένο μοντέλο κουλτούρας ασφάλειας. Ακολούθως, προσδιορίζουμε το κάθε στοιχείο του μοντέλου και αναδεικνύουμε ποσοτικούς δείκτες με στόχο τον προσδιορισμό μιας διεξοδικής μεθοδολογίας αξιολόγησης.Ακολούθως, προχωράμε στη συσχέτιση του προτεινόμενου μοντέλου κουλτούρας κυβερνοασφάλειας με δυο ευρέως διαδεδομένα και αναγνωρισμένα μοντέλα ασφαλείας:- Εσωτερικής Απειλής (Insider Threat): Η εσωτερική απειλή έχει αναγνωριστεί τόσο από την επιστημονική κοινότητα όσο και από τους επαγγελματίες ασφαλείας ως ένας από τους σοβαρότερους κινδύνους για την ασφάλεια ιδιωτικών οργανισμών, ιδρυμάτων και κυβερνητικών οργανισμών. Εκτεταμένη έρευνα σχετικά με τους τύπους, τους σχετικούς εσωτερικούς και εξωτερικούς παράγοντες, τις προσεγγίσεις ανίχνευσης και τις στρατηγικές μετριασμού της έχει διεξαχθεί τις τελευταίες δεκαετίες. Διάφορα πλαίσια έχουν προταθεί σε μια προσπάθεια κατανόησης του κινδύνου που ενέχει αυτή η απειλή, ενώ πολλαπλές περιπτώσεις που εντοπίστηκαν έχουν ταξινομηθεί σε ιδιωτικές ή δημόσιες βάσεις δεδομένων. Το προτεινόμενο πλαίσιο κουλτούρας κυβερνοασφάλειας, εστιάζοντας στον ανθρώπινο παράγοντα, μπορεί να συνδράμει στον εντοπισμό πιθανών απειλών τόσο από κακόβουλες όσο και από ακουσίως επικίνδυνες οντότητες. Εξετάζοντας τεχνικούς, συμπεριφορικούς, πολιτιστικούς και προσωπικούς δείκτες, βοηθά στον εντοπισμό πιθανών κινδύνων ασφαλείας που προέρχονται από τον άνθρωπο.- MITRE ATT&CK: Το πλαίσιο MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) παρέχει ένα πλούσιο και λειτουργικό αποθετήριο κακόβουλων τακτικών, τεχνικών και διαδικασιών. Η χρήση του εκτείνεται από την εξομοίωση αντιπάλου και την ανάπτυξη αναλυτικών στοιχείων συμπεριφοράς έως την αξιολόγηση ωριμότητας της άμυνας και του SOC (Security Operations Center) ενός οργανισμού. Ενώ έχει γίνει εκτεταμένη έρευνα για την ανάλυση συγκεκριμένων επιθέσεων ή συγκεκριμένων παραγόντων οργανωτικής κουλτούρας και ανθρώπινης συμπεριφοράς που οδηγούν σε τέτοιες επιθέσεις, απουσίαζε μια ολιστική άποψη για τη συσχέτιση των δύο. Σε αυτή τη διατριβή αξιοποιούνται οι δυνατότητες του MITRE ATT&CK προς μια επιστημονική κατεύθυνση που δεν έχει ακόμη διερευνηθεί: αξιολόγηση ασφάλειας και αμυντικών υποδομών, ένα βήμα πριν από τον τρέχοντα τομέα εφαρμογής του. Το προτεινόμενο πλαίσιο κουλτούρας κυβερνοασφάλειας σχεδιάστηκε αρχικά με στόχο κρίσιμες υποδομές και, πιο συγκεκριμένα, τον ενεργειακό τομέα. Οι οργανισμοί αυτών των τομέων εμφανίζουν συνύπαρξη και ισχυρή αλληλεπίδραση των δικτύων IT (Τεχνολογία Πληροφορικής) και OT (Επιχειρησιακή Τεχνολογία). Ως αποτέλεσμα, κάνουμε χρήση του υβριδικού μοντέλου MITRE ATT&CK for Enterprise και ICS (Industrial Control Systems) ως μια ευρύτερη και πιο ολιστική προσέγγιση.Απώτερος στόχος των προαναφερθέντων συσχετίσεων είναι η ανάδειξη ενός πλαισίου κουλτούρας κυβερνοασφάλειας ικανού να αξιολογήσει την τρέχουσα κατάσταση ασφαλείας μιας κρίσιμης υποδομής εντοπίζοντας τα κενά και τις αδυναμίες της και υποδεικνύοντας αντίμετρα, συστάσεις και εναλλακτικές προσεγγίσεις συμπεριλαμβανομένων προγραμμάτων κατάρτισης εργατικού δυναμικού.Το πλαίσιο κουλτούρας κυβερνοασφάλειας έχει σχεδιαστεί για να προσαρμόζεται εύκολα σε διάφορους επιχειρησιακούς τομείς με ιδιαίτερη έμφαση τις κρίσιμες υποδομές δεδομένων των αυστηρότερων κανονισμών στους οποίους αυτές υπόκεινται. Στην παρούσα διατριβή παρουσιάζονται εκτεταμένες εφαρμογές του πλαισίου κουλτούρας κυβερνοασφάλειας σε κρίσιμες υποδομές παρέχοντας πληροφορίες αναφορικά με το σχεδιασμό, τη στόχευση και την προσαρμογή των εκστρατειών αξιολόγησης σε κάθε περίπτωση ανάλογα με τη στοχοθεσία και τους απώτερους σκοπούς που καλούνται να εκπληρώσουν. Τα αποτελέσματα και τα ευρήματά τους αναλύονται εις βάθος αναδεικνύοντας και υπογραμμίζοντας τη σπουδαιότητα υιοθέτησης ενός πολύπλευρου και πολυκριτηριακού μοντέλου κουλτούρας κυβερνοασφάλειας προσανατολισμένου στον ανθρώπινο παράγοντα με συνεξέταση εσωτερικών και εξωτερικών παραγόντων.