Approcci modellistico/quantitativi alla sicurezza dei sistemi informatici

Modelling is the study of using mathematical representations to predict the behavior of a system. This practice is carried out across various mathematical, scientific, and computer science subjects, but it is underutilized in computer security systems application. The aim of this thesis is to demonstrate that creating and adopting models in the field of cybersecurity is essential to maximize the efficiency and practicality of the systems employed. According to the proposed approach, the use of models makes any issues bound to cybersecurity applications evident at any level, whether for minor systems or more complex ones. This thesis develops also a "simple" security model and a "complex" security model, adaptable according to the proposed use cases. The initial chapters present the reasonings behind the choice of modeling. The following chapters apply the created models: first, the simple model is applied using "toy" systems created specifically for simulation, then the complex model is applied to a system simulating reality while undergoing an attack from the Stuxnet malware. In the fifth chapter, an analysis of the results obtained evaluates the differences between adopting and not adopting modelling. Finally, the conclusions provide starting points for further researches on the addressed topic.

La modellazione è lo studio dell’utilizzo di rappresentazioni matematiche che consentono di prevedere il comportamento di un sistema. Questa pratica è svolta per diverse discipline matematiche e scientifiche ed informatiche, ma viene poco utilizzata per quanto riguarda i sistemi di sicurezza informatici. L’obiettivo di questa tesi è dimostrare che la creazione e l’adozione di modelli nell’ambito della Cybersecurity è fondamentale per massimizzare l’efficienza e la praticità dei sistemi utilizzati. Secondo la seguente proposta, l’utilizzo di modelli rende evidenti eventuali problematiche legate agli approcci di sicurezza informatica utilizzati a qualsiasi livello, sia per sistemi minori che per sistemi più complessi. In questa tesi viene redatta anche la creazione di un modello di sicurezza “semplice” ed un modello di sicurezza “complesso”, adattabile secondo i casi di utilizzo proposti. Nei primi capitoli vengono presentate le motivazioni dietro la scelta della modellazione. Nei capitoli seguenti vengono applicati i modelli creati, prima viene applicato il modello semplice utilizzando sistemi “giocattolo” creati ad hoc per la simulazione, in seguito viene applicato il modello complesso per un sistema che simula la realtà subendo un attacco da parte del malware Stuxnet. Nel quinto capitolo viene effettuata l’analisi dei risultati ottenuti per la valutazione delle differenze fra l’adozione e la non adozione della modellazione, infine nelle conclusioni sono riportati punti di partenza per poter ampliare la ricerca dell’argomento affrontato.