Applying Monte Carlo simulations in process-aware risk assessment

Abstract

Η εργασία αυτή επικεντρώνεται στην ανάλυση και εκτίμηση επιπτώσεων σε επιχειρησιακές διαδικασίες μέσω της χρήσης προηγμένων μεθόδων προσομοίωσης και ποσοτικής αξιολόγησης. Ως βασικό εργαλείο χρησιμοποιείται το πλαίσιο PRIA (Process Risk Impact Assessment), το οποίο επιτρέπει την αναπαράσταση επιχειρησιακών διαδικασιών με τη μορφή αιτιακών γράφων. Στο πλαίσιο αυτό αναπτύχθηκε ένας μηχανισμός προσομοίωσης Monte Carlo με στόχο την ενσωμάτωση τυχαιοποίησης σε κρίσιμες παραμέτρους, όπως τα βάρη των ακμών, η διαθεσιμότητα κόμβων και η ένταση του συμβάντος (severity). Παρότι μεθοδολογίες όπως η PRIA αποτελούν ένα σημαντικό βήμα προς την αυτοματοποίηση τής αξιολόγησης κινδύνου και της ανάλυσης επιχειρησιακού αντίκτυπου, παραμένουν κατά βάση ντετερμινιστικές, καθώς βασίζονται σε συγκεκριμένα σενάρια και σταθερές παραμέτρους. Αντίστοιχες προσεγγίσεις στη σχετική βιβλιογραφία, αν και έχουν αποβεί ιδιαίτερα χρήσιμες σε ερευνητικό επίπεδο, παρουσιάζουν περιορισμένη ευελιξία ως προς τη μοντελοποίηση τής αβεβαιότητας και της φύσης των πραγματικών κυβερνοεπιθέσεων. Στην πράξη, οι οργανισμοί καλούνται να αξιολογήσουν όχι ένα μόνο σενάριο, αλλά πλήθος πιθανών εκβάσεων, λαμβάνοντας υπόψη ατελή γνώση, μεταβαλλόμενες συνθήκες και αβέβαιες παραμέτρους. Η παρούσα εργασία επιχειρεί να γεφυρώσει αυτό το κενό, επεκτείνοντας τη PRIA με στοχαστικούς μηχανισμούς Monte Carlo, ώστε να καταστεί δυνατή η πιο ρεαλιστική αποτύπωση της αβεβαιότητας και η ενίσχυση της πρακτικής εφαρμογής της μεθόδου σε πραγματικά επιχειρησιακά περιβάλλοντα. Η μεθοδολογία που ακολουθήθηκε περιλαμβάνει την κατασκευή γράφων δραστηριοτήτων από αρχεία event logs (.xes), τον υπολογισμό χαρακτηριστικών κόμβων και ακμών, καθώς και την εκτίμηση επιπτώσεων μέσω διαδικασιών διάδοσης (impact propagation). Στο στάδιο της προσομοίωσης εισήχθησαν μηχανισμοί τυχαιοποίησης: • θόρυβος στα βάρη των ακμών (Gaussian perturbation), • πιθανότητα αποτυχίας κόμβων (asset unavailability), • κλιμάκωση της έντασης μέσω τυχαίας παραμέτρου severity. Για την αποτύπωση των αποτελεσμάτων επιλέχθηκαν τρεις μετρικές: μέση τιμή impact (Mean Impact), τυπική απόκλιση (Standard Deviation) και πιθανότητα κρισιμότητας (P>0.5). Οι μετρικές αυτές προσφέρουν μια ισορροπημένη εικόνα του αναμενόμενου κινδύνου, της αβεβαιότητας που τον συνοδεύει και της πιθανότητας εμφάνισης κρίσιμων καταστάσεων. Τα αποτελέσματα δείχνουν ότι η προσέγγιση αυτή μπορεί να αποτυπώσει με ρεαλισμό την αβεβαιότητα και την τυχαιότητα που χαρακτηρίζουν τις επιχειρησιακές διαδικασίες, παρέχοντας χρήσιμες ενδείξεις για τη διαχείριση κινδύνου και την ενίσχυση της κυβερνοασφάλειας. Η εργασία συνεισφέρει στην κατεύθυνση της αυτοματοποιημένης και ποσοτικής αξιολόγησης κινδύνων σε επιχειρησιακά περιβάλλοντα, ανοίγοντας τον δρόμο για μελλοντικές επεκτάσεις που θα ενσωματώνουν πιο σύνθετες στοχαστικές μεθόδους και μετρικές.This thesis focuses on impact analysis and assessment in business processes through the use of advanced simulation and quantitative evaluation techniques. The PRIA (Process Risk Impact Assessment) framework was employed as the core methodology, enabling the representation of business processes in the form of causal dependency graphs. Within this framework, a Monte Carlo simulation engine was developed in order to introduce randomization into critical parameters such as edge weights, node availability, and event severity. Although methodologies such as PRIA represent an important step towards the automation of risk assessment and business impact analysis, they remain largely deterministic, as they rely on fixed parameters and the interpretation of specific scenarios. Similar approaches found in the literature share comparable characteristics: while valuable from a research perspective, they often lack the flexibility required to model uncertainty and behavior inherent in real-world cyber incidents. In practice, organizations are rarely interested in assessing a single, well-defined scenario, but rather a wide range of possible outcomes under uncertain and evolving conditions. This thesis addresses this limitation by extending PRIA with Monte Carlo simulation techniques, enabling the probabilistic modeling of key parameters and supporting a more realistic and practically applicable assessment of risk and impact in complex operational environments. The adopted methodology includes the construction of activity graphs from event log files (.xes), the calculation of node and edge features, and the estimation of impact through propagation mechanisms. During the simulation stage, randomization mechanisms were incorporated: • Gaussian perturbation applied to edge weights, • probabilistic node failures (asset unavailability), • random scaling of severity values. To capture and summarize the results, three statistical metrics were selected: mean impact, standard deviation, and probability of criticality (P>0.5). These indicators provide a balanced perspective of the expected risk, the associated uncertainty, and the likelihood of critical outcomes. The results demonstrate that this approach successfully reflects the uncertainty and stochastic nature of business processes, offering valuable insights for risk management and cybersecurity enhancement. The contribution of this work lies in automating and quantifying risk assessment in operational environments, while laying the groundwork for future extensions that may incorporate more sophisticated stochastic methods and advanced risk metrics.