Threat Modeling für Dev und Ops

AktuellessecuriCAD

Bedrohungsmodellierung für Dev und Ops

Um unser Geschäft weiterzuentwickeln, denken wir gerne über neue Ideen zur Verbesserung und Erweiterung von Threat Modeling, Angriffssimulationen und securiCAD nach und entwickeln Prototypen. Dies geschieht unten in der Mine, gemeinsam mit foreseeti und weiteren Partnern, wo unsere Ingenieure am glücklichsten sind. Wir haben verschiedene Schächte mit verschiedenen offenen Themen. Dieser Text fasst einen Teil dieser Arbeit zusammen.

Wir machen Threat Modeling. Was ist also Threat Modeling, woher kommt es und wie entwickelt es sich weiter? Wie bei den meisten aufstrebenden Feldern gibt es unterschiedliche Meinungen darüber, wer mit was zuerst und am einflussreichsten war. Und einige werden sagen, dass es überhaupt nichts Neues unter der Sonne gibt; wir haben das schon damals gemacht, wir haben es damals nur nicht so genannt. Also, lassen Sie uns diesen Weg nicht gehen. Stattdessen möchten wir uns auf ein mentales Modell der Bedrohungsmodellierungspraxis und -gemeinschaft konzentrieren, von dem wir hoffen, dass es uns helfen kann, einen besseren Beitrag zur Zukunft zu leisten. Es ist ein einfaches Modell, das aus zwei Gemeinschaften besteht:

Threat Modeling for Dev (TMD) und Threat Modeling for Ops (TMO).

Die TMD-Bewegung ist sicherlich die bekanntere der beiden. Die Community wird vielleicht am besten durch die Arbeit von Microsoft und deren Arbeit an der Entwicklung des sicheren Entwicklungslebenszyklus sowie durch das mittlerweile klassische Buch von Adam Shostack zu diesem Thema repräsentiert. Wenn man diesen Ansatz auf den Punkt bringt, ist das Ziel, Schwachstellen in einem System während der Architekturentwurfsphase des Entwicklungsprozesses zu identifizieren. Schwachstellen frühzeitig zu finden, ist aus vielen Gründen gut, z.B. dass es vergleichsweise billig ist, sie dort zu beheben. Unterm Strich gilt also: Je mehr Schwachstellen gefunden werden, desto besser.

Die TMO-Bewegung wird vielleicht am besten durch die Rolle des CISO in einer Organisation repräsentiert. In jedem Unternehmen das IT einsetzt, ist jemand dafür verantwortlich, die ITK-Infrastruktur sicher zu halten. Hier geht es nicht nur darum, Schwachstellen zu identifizieren, sondern auch darum, einen Mechanismus zu haben, wie man sie priorisieren kann. Für den CISO wird es immer mehr Schwachstellen geben, als behoben werden können (angesichts des genehmigten Budgets und der Zeit), daher ist die zugrunde liegende Logik näher an der von Risikobewertung und -management. Wir können die Prioritäten nach der Auswirkung von Angriffen, der Wahrscheinlichkeit, dass jemand die Schwachstellen ausnutzt, und danach, wie schwierig es ist, die Schwachstellen auszunutzen, setzen. Oder eine Mischung daraus. Mit einer nach Prioritäten geordneten Liste erhält der CISO eine umsetzbare Entscheidungshilfe für die Behebung der Schwachstellen.

Ein gemeinsames Thema in beiden Lagern ist die Überzeugung, dass Modelle ein gutes Werkzeug zur Unterstützung der Aufgabe sind. Ein weiteres gemeinsames Thema, das den Kern von securiCAD bildet, ist die Idee, dass die Angriffsvektoranalyse der Schlüssel zum Verständnis struktureller Schwachstellen in komplexen Systemarchitekturen ist. Angriffsgraphen und Angriffsbäume sind der Hauptformalismus dafür, der gemeinhin Bruce Schneier zugeschrieben wird.

Eine der Schönheiten von Angriffsgraphen ist, dass wir sie als einen Mechanismus sehen, der helfen kann, die TMD- und TMO-Lehren nahtlos und elegant zu vereinen. Denn der Schweregrad einer Schwachstelle wird nicht nur durch ihren lokalen CVSS-Wert bestimmt, sondern ist auch davon abhängig, wo sie sich in der Systemarchitektur befindet. Befindet sich die Schwachstelle an einem dem Internet zugewandten System oder an einem System tief in der internen Systemarchitektur. Um genauer zu sein, hängt der Schweregrad davon ab, wie viel Schutz vor der Schwachstelle angebracht ist.

In einer Zukunft mit zunehmender Systemkomplexität und in der sich die überwiegende Mehrheit in einem DevOps-Paradigma wiederfindet, anstatt in Dev oder Ops, sind wir überzeugt, dass diese Strukturanalyse der Schlüssel für die Zukunft ist.

Deshalb sagen wir inzwischen: alle Arten von Bedrohungsmodellierern vereinigt euch! Und dann kratzen wir uns weiter den Kopf darüber, wie wir Lösungen bauen können, die diese Bewegung unterstützen. Haben Sie Ideen, die Sie mit uns teilen möchten – kontaktieren Sie uns!

Vorheriger Beitrag
Der sichere Umgang mit dem Home-Office
Nächster Beitrag
SuccessStory: Resilienz-Überprüfung für das Herzstück der Informationsverarbeitung

Aktuelles von CYBEResilienz

Hier lesen Sie Aktuelles rund um Themen zu Cyber-Attacken, wie man sich schützen kann und wie CYBEResilienz Ihnen hilft, Ihre Systemlandschaft sicherer zu machen.

Kategorien