ACADEMIA DE STUDII ECONOMICE DIN BUCUREŞTI

Şcoala doctorală de Informatică Economică

TEZĂ DE DOCTORAT

REZUMAT

Prezentată și susţinută public de către autor:

SECHEL GH. SERGIU RAUL

Titlul tezei de doctorat:

ELABORAREA UNEI METODOLOGII MODULARE PENTRU ASIGURAREA

SECURITĂȚII SISTEMELOR DE E-BUSINESS

Conducător de doctorat: Prof. dr. FLOAREA NĂSTASE

Bucureşti, 2019
 CUPRINS

REZUMAT 3
MULȚUMIRI 4
INTRODUCERE 8
CAPITOLUL 1. SISTEMELE DE E-BUSINESS ȘI COMERȚ ELECTRONIC. DEFINIȚII ȘI
EVOLUȚIE GLOBALĂ ȘI LOCALĂ 13
1.1. E-BUSINESS 13
1.2. CARACTERISTICILE ACTIVITĂȚILOR DE E-BUSINESS 16
1.3. ORIGINI ȘI PREZENT 19
1.4. GRADUL DE PENETRARE A SERVICIILOR DIGITALE LA NIVELUL UNIUNII EUROPENE
ȘI IMPACTUL LOR ASUPRA ACTIVITĂȚILOR DE E-BUSINESS 22
1.5. PROGNOZE PRIVIND DIGITALIZAREA MEDIULUI DE AFACERI ȘI AL INDUSTRIEI ÎN
ROMANIA 27
CAPITOLUL 2. RISCURILE DE SECURITATE LA CARE SUNT EXPUSE SISTEMELE DE E-
BUSINESS 29
2.1. CARACTERISTICILE DE SECURITATE A INFORMAȚIILOR 29
2.2. AMENINȚĂRI INFORMATICE – DEFINIȚII 30
2.3 VULNERABILITĂȚILE SOFTWARE ÎN SISTEMELE DE E-BUSINESS 32
2.3.1. Definiția unei vulnerabilități 32
2.3.2. Metodologia de clasificare CVE 35
2.3.3. Metodologia de clasificare CWE 35
2.3.4. Metodologia de clasificare OWASP 37
2.4. AMENINȚĂRILE INFORMATICE LA ADRESA SISTEMELOR DE E-BUSINESS 41
2.4.1. Aplicații de tip malware 41
2.4.2. Autorii incidentelor informatice 43
2.4.3. Categorii de autori ai incidentelor informatice 44
2.5. MANAGEMENTUL RISCURILOR LA ADRESA SISTEMELOR DE E-BUSINESS 46
2.5.1. Identificarea riscurilor 46
2.5.2. Analiza și evaluarea riscurilor 47
2.5.3. Elementele care compun un risc informatic 49

2
2.5.4. Metode de evaluare a riscurilor 51
2.5.5. Metode de analiză a riscurilor 52
2.5.6. Tratamentul riscurilor 53
2.5.7. Monitorizarea riscurilor 53
2.6. INCIDENTE INFORMATICE NOTABILE ASUPRA SISTEMELOR DE E-BUSINESS 54
2.6.1. Termita albastră25 (Kaspersky, 2015) 54
2.6.2. Hidden Lynx26 (Symantec, 2013) 55
2.6.3. APT1 - Unitatea PLA 6139827 (Mandiant, 2011) 55
2.6.4. Gardienii Păcii28 (Reuters, 2016) 56
2.6.5. Grupul Butterfly29 (Symantec, 2015) 56
2.6.6. Grupul Cobalt/Carbanak30 (EUROPOL, 2018) 56
2.7. ASPECTE LEGATE DE SECURITATEA SISTEMELOR DE E-BUSINESS ÎN CLOUD 59
2.7.1. Riscurile implementării unui sistem de e-business într-un cloud privat 62
2.7.2. Riscurile implementării unui sistem de e-business într-un cloud comunitar 62
2.7.3. Riscurile implementării unui sistem de e-business într-un cloud public și într-un cloud hibrid
62
2.7.4. Segregarea responsabilităților în cloud computing în funcție de tipul de serviciu 67
2.8. STUDII ȘI ANALIZE REALIZATE PENTRU A ÎNTELEGE RISCURILE ȘI AMENINȚĂRILE
LA ADRESA SISTEMELOR DE E-BUSINESS 69
2.8.1. Sondajul Ernst & Young referitor la securitatea sistemelor de e-business din 2014 69
2.8.2. Studiu privind atacurilor informatice la adresa sistemelor de e-business în perioada 2014 - 2017
73
2.8.3. Studiu privind securitatea sistemelor de e-business în spațiul cibernetic românesc 78
2.8.4. Raportul CERT Romania privind amenințările identificate asupra sistemelor din România în 2017.
86
CAPITOLUL 3. ASIGURAREA SECURITĂȚII SISTEMELOR DE E-BUSINESS 90
3.1. STANDARDE, CADRE DE LUCRU ȘI METODOLOGII PENTRU ASIGURAREA
SECURITĂȚII SISTEMELOR DE E-BUSINESS 90
3.1.1. Cadrul de lucru ISACA COBIT 5 91
3.1.2. Regulamentul Uniunii Europene privind protecția datelor personale (GDPR) 92
3.1.3. Standardul ISO 27001 pentru managementul securității informațiilor 92
3.1.4. Cadrul de lucru NIST SP800-53 pentru managementul securității informațiilor 93

3
3.1.5. Standardul PCI DSS pentru asigurarea sistemelor de procesare al tranzacțiilor cu carduri de credit
94
3.1.6. Analiză comparativă a standardelor, cadrelor de lucru și a metodologiilor pentru asigurarea
securității sistemelor de e-business 94
3.2. CADRE DE LUCRU UTILIZATE ÎN MANAGEMENTUL RISCURILOR SISTEMELOR DE E-
BUSINESS 101
3.2.1. Cadrul de lucru ISACA RiskIT 101
3.2.2. Cadrul de lucru COSO ERM 101
3.2.3. Standardul internațional ISO 31000 102
3.2.4. Standardul AS/NZS 4360 102
3.2.5. Cadrul de lucru PMI PMBOK 103
3.2.6. Analiza comparativă a cadrelor de lucru și a standardelor de management a riscurilor 104
3.3. MODELAREA AMENINȚĂRILOR LA ADRESA SISTEMELOR DE E-BUSINESS 106
3.4. MODELE DE ANALIZĂ A COMPORTAMENTULUI ADVERSARILOR 109
3.4.1. Introducere în activitățile de analiză a comportamentului adversarilor 109
3.4.2. Modelul Diamant 110
3.4.3. Modelul ATT&CK 112
3.4.4. Modelul Intrusion Kill Chain 113
CAPITOLUL 4. CONTRIBUTII LA ASIGURAREA SECURITĂȚII SISTEMELOR DE E-BUSINESS
117
4.1. METODOLOGIA DE EVALUARE SEMI-CANTITATIVĂ A RISCURILOR LA ADRESA
SISTEMELOR DE E-BUSINESS 121
4.1.1. Validarea metodologiei de evaluare a riscurilor 123
4.1.2. Experimente și rezultate 125
4.1.3. Studiul de caz 1: Sistem electronic bancar de procesare a plăților 125
4.1.4. Studiul de caz 2: Sistem de e-business pentru managementul relației cu furnizorii 128
4.1.5. Studiul de caz 3: Sistem de e-commerce bazat pe tehnologii web 130
4.1.6. Concluziile studiilor de caz 133
4.2. NOMENCLATOR DE BUNE PRACTICI ÎN ASIGURAREA SECURITĂȚII SISTEMELOR DE E-
BUSINESS 133
4.3. METODOLOGIA DE TESTARE PERIODICĂ PENTRU EVALUAREA CONFORMITĂȚII
SISTEMELOR DE E-BUSINESS 140

4
4.3.1. Controale generale IT 141
4.3.2. Controale pentru aplicațiile software de e-business 141
4.3.3. Metodologia de testare activă a sistemelor de e-business 143
4.4 METODOLOGIA DE AUDIT A SECURITĂȚII SISTEMELOR DE E-BUSINESS 154
4.5. METODLOGIA DE MANAGEMENT A AMENINȚĂRILOR ȘI A INCIDENTELOR
INFORMATICE 163
4.5.1. Soluția de detecție și analiză a codului de atac (malware) 166
4.5.2. Componentele sistemului de detecție al amenințărilor și al codului de atac (malware) 168
4.5.3. Detecția și combaterea mecanismelor de apărare ale codului de atac (malware) 171
4.5.4. Rezultate obținute în analiza specimenelor ransomware modificate 181
4.6. MODELUL PENTRU ANALIZA COMPORTAMENTULUI ADVERSARILOR 196
4.6.1. Raționamentul pentru analiza informațiilor în baze de date de tip graf 198
4.6.2. Avantajele utilizării bazelor de date de tip graf pentru crearea de relații între seturile de date semi-
structurate 199
4.6.3. Modelul de date pentru sistemul de analiză a comportamentului adversarilor 208
4.7. STUDIU DE CAZ - EMAIL DE PHISHING UTILIZAT ÎNTR-O CAMPANIE DE INFECTARE
CU MALWARE PENTRU A OBȚINE CÂȘTIGURI FINANCIARE 223
4.7.1. Culegerea de informații despre domenii, pagini web și adrese de email 224
4.7.2. Culegerea de artefacte din situl web și culegerea de date contextuale din site-urile asociate 224
4.7.3. Analiza contextuală a comportamentului adversarilor 230
4.7.4 Concluziile studiului de caz 234
5. COMENTARII 236
6. CONCLUZII 238
6.1. PRINCIPALELE CONTRIBUȚII ALE AUTORULUI LA ASIGURAREA SECURITĂȚII
SISTEMELOR DE E-BUSINESS 240
6.2. DIRECȚII DE CERCETARE ÎN VIITOR 247
7. LISTA LUCRĂRILOR PUBLICATE 248
8. REFERINȚE BIOGRAFICE 250
ANEXA 2. SISTEMUL PILOT PENTRU ANALIZA COMPORTAMENTULUI MALWARE 261
ANEXA 3. MESAJ EMAIL DE TIP PHISHING 262
ANEXA 4. ATRIBUTELE CATEGORIILOR DE RISC 273

5
LISTA ABREVIERILOR ŞI ACRONIMELOR 279
LISTA TABELELOR 282
LISTA FIGURILOR 286
LISTA ANEXELOR 288

CUVINTE CHEIE

e-business, securitatea informațiilor, securitatea sistemelor informatice, criminalitate

informatică, managementul riscurilor, vulnerabilități, incidente informatice, adversari, atac,
audit, testarea securității, analiză comportamentală, cod de atac, malware, modelarea
amenințărilor, managementul incidentelor, metodologii.

SINTEZA LUCRĂRII

Prezenta lucrare a fost bazată pe cercetarea în domeniul securității sistemelor de e-business

efectuată în perioada 2014-2019. Contextul cercetării a fost creșterea numărului de atacuri
informatice la adresa sistemelor de e-business, schimbările legislative care au pus accentul pe
securitatea informațiilor și a datelor cu caracter personal, modificarea comportamentului
adversarilor ce atacă sistemele de e-business și nu în ultimul rând evoluția rapidă a tehnologiei
digitale în care societatea modernă își desfășoară practic activitățile profesionale (de afaceri) și
cele personale.

Securitatea sistemelor informatice a evoluat semnificativ împreună cu adoptarea în masă a

produselor și serviciilor digitale conectate prin internet. Cercetarea în acest domeniu și
descoperirile tehnologice au venit ca răspuns la atacurile informatice, atacuri ce au evoluat
semnificativ în ultimul deceniu. De la primele soluții antivirus dezvoltate în perioada 1980 – 1990
ca răspuns la primele infecții cu viruși informatici la soluțiile antimalware bazate pe algoritmi de
inteligență artificială dezvoltate în ultimii 6 ani, tehnologiile au evoluat pentru a răspunde noilor
amenințări informatice.

6
Evoluția tehnologică și accesul global la internet a produs o schimbare semnificativă a activităților
infracționale deoarece infractorii au realizat faptul că pot comite infracțiuni informatice prin
intermediul internetului oriunde pe glob cu riscuri semnificativ mai scăzute decât cele la care sunt
expuși efectuând activități infracționale clasice. În același timp evoluția activităților de e-business
și e-commerce (comerț electronic) au contribuit la evoluția instrumentelor financiare de plată.
Platformele ce procesează tranzacțiile cu cartele de plată (carduri de debit sau credit), sistemele de
intermedieri financiare precum Paypal sau instrumentele alternative de plată precum cripto-
valutele (bitcoin) au devenit o țintă pentru infractori și pentru grupările de crimă organizată. De
asemenea accesul facil la internet la scară largă a permis dezvoltarea unor modele noi de
monetizare a serviciilor electronice prin intermediul tranzacționării tiparelor de consum ale
utilizatorilor. Serviciile și produsele giganților tehnologici Facebook, Google, YouTube,
Instagram sau Twitter sunt monetizate prin valorificarea tiparelor de consum și a preferințelor
utilizatorilor.

În contextul evoluției rapide a activităților de e-business și al dezvoltării de modele de afaceri

alternative, în care informația este utilizată ca monedă în schimburile de bunuri și servicii digitale,
au fost ridicate mai multe întrebări legate de cum pot fi blocate atacurile asupra sistemelor
informatice. De asemenea organizațiile ce desfășoară activități de e-business sunt într-o continuă
căutare de răspunsuri la întrebarea cum pot fi dezvoltate sisteme de e-business sigure.

Răspunsul la această întrebare a reprezentat și unul din motivele prezentei lucrări. Deși există
posibilitatea ca un programator sau o echipă de programatori software să dezvolte o aplicație
software fără vulnerabilități cunoscute, de cele mai multe ori ea va fi utilizată într-un ecosistem
software populat cu o varietate de aplicații software dezvoltate de alți programatori care pot sau
nu să fi fost dezvoltate ținând cont de cele mai bune practici în domeniul securității. Astfel există
o reală posibilitate ca o aplicație software sigură să utilizeze o altă componentă software (de
exemplu o bază de date) care este vulnerabilă iar astfel sistemul integrat rezultat să fie la rândul
său vulnerabil.

Pornind de la această simplificare s-a enunțat că sistemele informatice integrate, cum sunt cele de
e-business, pot fi considerate sigure dacă toate componentele software și hardware din care este
compus sunt la rândul lor sigure. Sistemele de e-business sunt în esență sisteme informatice

7
integrate utilizate în automatizarea unor procese economice, comerciale și financiare critice pentru
organizații și entități care desfășoară activități economice.

Pentru a asigura securitatea unui sistem de e-business, trebuie să se poată răspunde la următoarele
întrebări:

- În ce ordine sunt prioritare cele trei caracteristici primare de securitate respectiv,

confidențialitatea, integritatea și disponibilitatea sistemului de e-business?
- La ce tipare de atac este vulnerabil sistemul de e-business și de ce?
- Care este profilul adversarilor care pot iniția atacuri la adresa sistemului de e-business?
- Care sunt motivațiile, resursele și nivelul de sofisticare al adversarilor?
- Care este cuantumul pierderilor financiare la care este expus sistemul de e-business într-un
interval de timp definit (un minut, o oră, o zi, o săptămână)?

În prezent în literatura de specialitate nu sunt abordate fluxuri complete de asigurare a securității

sistemelor de e-business, majoritatea concentrându-se pe arii precum:

- managementul riscurilor;
- securitatea dezvoltării codului sursă;
- securitatea rețelelor de comunicații;
- securitatea sistemelor de operare;
- auditul sistemelor informatice;
- testarea securității sistemelor informatice;
- răspunsul la incidente informatice;
- investigarea criminalității informatice.

Obiectivul principal al lucrării a fost dezvoltarea unei metodologii de asigurare a securității

sistemelor de e-business în care să fie abordate activități diverse de analiză, securizare și testare.
Obiectivele secundare ale lucrării au fost dezvoltarea:

- metodologiei de evaluare semi-cantitativă a riscurilor la adresa sistemelor de e-business;

- principiilor de bune practici în asigurarea securității sistemelor de e-business;
- metodologiei de testare periodică pentru evaluarea securității sistemelor de e-business;
- metodologiei de audit a securității sistemelor de e-business;
- metodologiei de management a amenințărilor și a incidentelor informatice;
- metodologiei de analiză a comportamentului adversarilor.

8
Lucrarea a fost structurată în patru capitole, pornind de la o introducere în sistemele de e-business
și trecând apoi prin riscurile de securitate la adresa sistemelor respective, modalități de asigurare
a securității sistemelor de e-business și s-a încheiat cu tratarea modalităților de analiză a
comportamentului de atac al adversarilor.

Capitolul 1. Sistemele de e-business și comerț electronic. Definiții și evoluție globală și locală

În capitolul 1 au fost prezentate definițiile și evoluția activităților de e-business, precum și

contextul global și local. Au fost prezentate argumentele pentru care activitățile de e-business au
ajuns să reprezinte motorul activităților economice și comerciale în societățile dezvoltate.

Activitățile de e-commerce reprezintă o componentă importantă a e-business-ului și au avut un rol

semnificativ în modul în care activitățile de e-business au evoluat. Tot în capitolul 1 au fost
prezentate studii și sondaje efectuate pe teritoriul Uniunii Europene (UE) cu privire la e-business
și gradul de penetrare al serviciilor digitale în rândul cetățenilor UE inclusiv în Romania.

Un sumar al studiului DESI (Digital Economy and Society Index) a arătat că în anul 2018 România
s-a clasat pe ultimul loc în rândul statelor membre ale UE în privința utilizării serviciilor internet.
Românii au citit știri online (69%), au ascultat muzică, au vizionat materiale video, au jucat jocuri
(67%) și au utilizat internetul pentru apeluri vocale sau video (53%). Deși românii au comunicat
prin intermediul rețelelor de socializare și prin apeluri video, ei au fost reticenți în a face
cumpărături online (23%) și a folosi servicii financiar-bancare online (11 %) comparativ cu media
UE.

Capitolul 2. Riscurile de securitate la care sunt expuse sistemele de e-business

În capitolul 2 au fost prezentate principalele riscuri de securitate la adresa sistemelor de e-business

reprezentând stadiul actual al cunoașterii din perspectiva riscurilor IT și al amenințărilor
informatice. Aspectele tratate au fost atât de natură juridică cât și de natură operațională și
tehnologică. Pe parcursul capitolului au fost clarificate concepte precum cod de atac (malware),
amenințare informatică, incident informatic, autor/adversar, victimă/țintă. Au fost prezentate
metodologiile de clasificare a vulnerabilităților software și este dezvoltat subiectul privind modul
în care sunt identificate vulnerabilități de securitate în aplicațiile software, respectiv metodologiile
CVE (Common Vulnerabilities and Exposures), CWE (Common Weakness Enumeration) și
OWASP (Open Web Application Security Project).

9
Tot în capitolul 2 au fost prezentate o serie de incidente informatice reale la adresa sistemelor de
e-business, incidente ce oferă informații și care conturează contextul în care au fost dezvoltate
metodologiile prezentate în capitolul 4. Au fost prezentate activitățile următoarelor grupuri:

- Termita albastră;
- Hidden Lynx;
- Unitatea PLA 61398;
- Gardienii Păcii;
- Grupul Butterfly.

Având în vedere faptul că adopția cloud computing este în creștere, subcapitolul 2.7 a fost dedicat
securității sistemelor de e-business implementate în cloud.

În finalul capitolului 2 au fost prezentate studii și sondaje statistice inclusiv studii și cercetări
realizate de autor pentru a întelege natura riscurilor la adresa sistemelor de e-business și tipurile
de amenințări informatice la adresa sistemelor de e-business utilizând sondaje efectuate de EY,
CERT-RO și două studii statistice efectuate de autor.

Capitolul 3. Asigurarea securității sistemelor de e-business

În capitolul 3 au fost prezentate principalele cadre de lucru, standarde și metodologii pentru

asigurarea securității sistemelor de e-business. Este prezentată o analiză comparativă a
următoarelor cadre de lucru, standarde și metodologii din perspectiva asigurării securității
sistemelor de e-business: ISACA COBIT 5, EU-GDPR, NIST SP800-53, ISO 27001 și PCI-DSS.
Din perspectiva managementului riscurilor la adresa sistemelor de e-business au fost comparate
următoarele: ISACA RiskIT, COSO ERM, ISO 31000, AS/NZS 4360, PMI PMBOK. În
subcapitolul 3.3 au fost detaliate bunele practici în modelarea amenințărilor la adresa sistemelor
de e-business și anume analizele diagramelor de flux și stare (DFD) și analizele utilizând arbori de
atac. În subcapitolul 3.4 au fost detaliate bunele practici în analiza comportamentului adversarilor.
Au fost prezentate principalele modele de analiză a comportamentului adversarilor, respectiv
modelul diamant, modelul ATT&CK și modelul intrusion kill chains.

Capitolul 4. Contribuții la asigurarea securității sistemelor de e-business

10
În capitolul 4 au fost prezentate principalele contribuții aduse domeniului cercetat prin dezvoltarea
unei metodologii modulare de asigurare a securității sistemelor de e-business. Modulele dezvoltate
au fost următoarele:

- metodologia de evaluare semi-cantitativă a riscurilor la adresa sistemelor de e-business;

- nomenclator de bune practici în asigurarea securității sistemelor de e-business;
- metodologia de testare periodică pentru evaluarea conformității sistemelor de e-business;
- metodologia de audit a securității sistemelor de e-business;
- metodologia de management a amenințărilor și a incidentelor informatice;
- modelul pentru analiza comportamentului adversarilor.

Modulele au fost dezvoltate pe baza cercetării efectuate de către autor și pe baza experienței
profesionale a autorului în domeniul securității informațiilor și al auditului sistemelor informatice.

Ca rezultate semnificative au fost obținute următoarele:

- evaluarea semi-cantitativă a riscurilor la adresa sistemelor de e-business utilizând un model

bazat pe categorii de risc și atribute de risc, în care incertitudinea este eliminată utilizând
un algoritm bazat pe analiza Monte Carlo;
- identificare și clasificarea specimenelor de cod suspect (malware, code de atac) prin analiza
comportamentală a specimenului suspect utilizând tehnologii de tip sandbox;
- un model de analiză a comportamentului adversarilor utilizând un model de tip graf pentru
realizarea legăturilor dintre categorii de obiecte, atribute și acțiuni.

Modulele dezvoltate au fost integrate într-o metodologie de asigurare a securității sistemelor de e-

business prin care să se poată dezvolta, implementa, testa și audita un ciclu complet de asigurare
a securității sistemelor de e-business.

11