Ein wichtiger Bestandteil bei der Bedrohungsmodellierung ist die Vertrauensgrenze. Im Allgemeinen hilft das Konzept der Vertrauensgrenze dabei, herauszufinden, wo in Systementwürfen nach Schwachstellen zu suchen ist. Dabei hat das Konzept – soweit wir wissen – keine genaue oder strenge Definition (soweit wir wissen), es ist vielmehr ein pragmatisches Konzept zur Unterstützung eines sicheren Designs. Im Allgemeinen besteht die Idee darin, dass es innerhalb einer Grenze oder Zone eine Form eines gemeinsamen Sicherheitsniveaus gibt. Innerhalb einer solchen Zone vertrauen die Komponenten einander und müssen die Integrität der anderen nicht in Frage stellen, und es gibt eine Art gemeinsame Kontrolle oder Regelung. Betrachtet man ein Systemmodell, so findet man in der Regel solche Vertrauensgrenzen. Zum Beispiel dort, wo wir verschiedene Konten mit unterschiedlichen Berechtigungen haben, an Netzwerk- und/oder organisatorischen Schnittstellen. Eine Vertrauensgrenze ähnelt dem Konzept der Angriffsfläche und kann auch als eine Art lokale Angriffsfläche betrachtet werden, an der sich die Bedrohungen oft zu bündeln scheinen.

Eine weitere Möglichkeit, Vertrauensgrenzen zu nutzen, ist die zentrale Idee verschiedener Gestaltungsprinzipien. Am deutlichsten ist das vielleicht bei der Idee der Null-Vertrauens-Architekturen, bei denen der Schlüsselgedanke darin besteht, die Vertrauensgrenze sehr explizit zu machen und sorgfältig zu verwalten. Aber auch in Normen und Referenzmodellen wie dem IEC 62443/ISA99/Purdue-Modell für OT Umgebungen, das eine Struktur für die Einteilung verschiedener Systemtypen in klar getrennte Zonen skizziert, je nachdem, „wie weit“ sie von dem zu steuernden physischen Prozess entfernt sind, findet man diese Idee. Von Sensoren und Aktoren über die lokale Steuerung und die zentrale Steuerung bis hin zu allgemeinen Geschäftsunterstützungssystemen. In diesen beiden Bereichen wird die Vertrauensgrenze als normative Anforderung für eine gute Gestaltung verwendet.

Die Vertrauensgrenze kann jedoch auch aus Sicht der Analyse verwendet werden. Dies ist bei der Bedrohungsmodellierung eines bestehenden (oder hypothetischen) Entwurfs nicht unüblich. Wo finden wir bei einem Systementwurf mit all seinen Netzwerken, Konten und Berechtigungen de facto die Vertrauensgrenze? Wenn Sie foreseeti und CYBEResilienz verfolgt haben, wissen Sie, dass uns genau dieser Aspekt interessiert. Wir glauben nicht an allgemeingültige Entwürfe, sondern daran, dass jedes System einzigartig ist und dass seine Sicherheitslage individuell bewertet werden muss. Derzeit gibt es in securiCAD keine explizit beschriebenen oder bewerteten Vertrauensgrenzen, sie können dennoch in Angriffsgraphen berücksichtigt werden. Vertrauensgrenzen sind in der Regel dort zu finden, wo eine große Veränderung der Time-To-Compromise (TTC)-Werte stattfindet. Wie Sie vielleicht wissen, wird in den securiCAD Simulationen TTC als Maß für die Sicherheit/Resilienz der Systemarchitektur verwendet. Wenn also der TTC-Wert für verschiedene (miteinander verbundene) Angriffsschritte gleich ist, lässt sich daraus schlussfolgern, dass es für einen Angreifer keinen Aufwand bedeuten würde, sich weiterzuverbreiten. Wenn der TTC-Wert jedoch steigt, müsste der Angreifer sich anstrengen, um weiterzukommen. Eine Grenze des Aufwands. Anhand von Angriffssimulationen können wir den Anstieg der TTC ermitteln und mit dem erwarteten Grenzwert vergleichen. So müsste der Angreifer beispielsweise daran arbeiten, eine Firewall zu umgehen und deren Rechte zu erweitern. Vielleicht finden wir aber auch (fehlende) Vertrauensgrenzen an unerwarteten Stellen. Zum Beispiel, wenn das Systemdesign an sich erwartet, dass eine Anwendung zu einer Vertrauenszone gehört, wir aber aufgrund einer Software-Schwachstelle keinen entsprechenden TTC-Anstieg für einen Angriff auf die Anwendung finden und zu dem Schluss kommen, dass sich die Vertrauensgrenze de facto woanders befindet. Der Vergleich von Angriffssimulationen mit erwarteten Vertrauensgrenzen kann Sie vor unangenehmen Überraschungen bewahren.

Nun, unser Backlog an fantastischen securiCAD Funktionen ist lang. Ein „De facto-Vertrauensgrenzen-Visualisierer“ ist noch nicht bis an die Spitze gelangt. Mit diesem Blog-Beitrag wollen wir Ihr Bewusstsein für diese Art von Analyse schärfen, aber vielleicht ist sie wertvoller als das, was wir tief unten in der Entwickler-Mine verstehen… Was denken Sie, sollte dieses Feature im Backlog auftauchen? Lassen Sie uns wissen, was sie denken – melden Sie sich in der Mine!