Dipartimento di Ingegneria informatica, automatica e gestionale

Attack Graphs
Tra tutti i modelli di attacco esistenti, gli Attack Graphs rappresentano una delle astrazioni più espressive per catturare la nozione di attacco multi-step, cioè un attacco verso un obiettivo specifico eseguito tramite passaggi intermedi in cui l'attaccante compromette diversi dispositivi e sfrutta le loro vulnerabilità per raggiungere l'obiettivo. In letteratura esistono diverse rappresentazioni di grafi di attacco ma sono scarsamente scalabili e considerano solo la vulnerabilità relativa all'infrastruttura di rete sottostante.
Nella mia ricerca, studio come migliorare la scalabilità del processo di generazione degli Attack Graphs e come arricchire il grafico di attacco con altri tipi di informazioni (ad esempio, vulnerabilità delle applicazioni, vulnerabilità umane, ecc.).

Information Security Governance (ISG)
L'Information Security Governance è la disciplina che studia le strategie generali per la sicurezza delle informazioni in un'organizzazione. Bilancia il rischio che le informazioni presentano con il valore che le informazioni forniscono e aiuta con la conformità legale, la trasparenza operativa e la riduzione dei costi associati alla violazione legale. ISG è composto da molti processi diversi, tra cui la gestione degli incidenti e la gestione del rischio informatico. In genere vengono eseguiti manualmente, causando possibili errori e interpretazioni errate a causa delle diverse competenze che possono avere gli esperti di sicurezza.
Nella mia ricerca, studio approcci basati sui dati e automatizzati per supportare gli esperti di sicurezza durante i processi ISG con l'obiettivo di migliorare l'accuratezza delle analisi di sicurezza.