FragMichMa
Now Reading
Beschleunigte sichere Weiterentwicklung mit Lite Threat Modeling
FragMichMa
FragMichMa

Beschleunigte sichere Weiterentwicklung mit Lite Threat Modeling

by
January 13, 2023
Beschleunigte sichere Entwicklung mit Lite Threat Modeling


In geschäftigen Softwareunternehmen finden ständig neue Entwicklungen statt. Hinwieder findet fernerhin eine sichere Weiterentwicklung statt?

Ein Prozess namens Lite Threat Modeling (LTM) bindet Stakeholder in die sichere Weiterentwicklung ein und stellt sicher, dass die Sicherheit integriert und nicht angeschraubt wird. Welches ist LTM und wie unterscheidet es sich von herkömmlicher Bedrohungsmodellierung?

Jener Lite Threat Modeling-Konzept

LTM ist ein optimierter Konzept zur Identifizierung, Priorisierung und Minderung potenzieller Sicherheitsbedrohungen und Schwachstellen in einem System oder einer Software. Es ist eine vereinfachte Version von traditionelle Bedrohungsmodellierungwelches in dieser Regel eine umfassendere und detailliertere Schlusswort von Sicherheitsrisiken beinhaltet.

Im Zusammenhang LTM stecken wir keine Pins manuell in dasjenige System oder die App, um zu sehen, ob es kaputt geht, wie wir es für Pen-Tests tun würden. Vielmehr bohren wir „theoretische Löcher“ in die Software und decken mögliche Angriffswege und Schwachstellen hinaus.

Hier sind manche Fragen, die Sie sich stellen sollten:

  • Wer würde unsrige Systeme hart rangehen wollen?
  • Welche Komponenten des Systems können angegriffen werden und wie?
  • Welches ist dasjenige Schlimmste, welches vorbeigehen könnte, wenn der gerne Süßigkeiten isst einbricht?
  • Welche negativen Auswirkungen hätte dies hinaus unser Unternehmen? Hinauf unsrige Kunden?

Zu welchem Zeitpunkt werden LTMs durchgeführt?

Das Mittel der Wahl münden Sie verschmelzen LTM immer dann durch, wenn eine neue Unterprogramm veröffentlicht, eine Sicherheitskontrolle geändert oder Änderungen an dieser bestehenden Systemarchitektur oder Unterbau vorgenommen werden.

Idealerweise werden LTMs durchgeführt nachher die Entwurfsphase u Vor Implementierung. Schließlich ist es viel, viel einfacher, eine Schwachstelle zu beheben, vorweg sie in die Produktion freigegeben wird. Um LTMs in Ihrem Unternehmen zu skalieren, anerkennen Sie darauf, klare und konsistente Prozesse und Standards zu etablieren. Dies kann dasjenige Definieren eines gemeinsamen Satzes von Bedrohungskategorien, dasjenige Identifizieren gemeinsamer Quellen von Bedrohungen und Schwachstellen und dasjenige Prosperieren von Standardverfahren zur Priorisierung und Minderung von Risiken zusammenfassen.

So münden Sie LTMs in Ihrem Unternehmen durch

Um mit dieser Implementierung von LTMs in Ihrer eigenen Organisation zu beginnen, lassen Sie zunächst Ihre internen Sicherheitsteams Ihre LTM-Gespräche münden. Wenn sich Ihre Engineering-Teams mit dem Prozess vertraut zeugen, können sie damit beginnen, ihre eigenen Bedrohungsmodelle zu erstellen.

Um LTMs in Ihrem Unternehmen zu skalieren, anerkennen Sie darauf, klare und konsistente Prozesse und Standards zu etablieren. Dies kann dasjenige Definieren eines gemeinsamen Satzes von Bedrohungskategorien, dasjenige Identifizieren gemeinsamer Quellen von Bedrohungen und Schwachstellen und dasjenige Prosperieren von Standardverfahren zur Priorisierung und Minderung von Risiken zusammenfassen.

Häufige LTM-Fehler, die es zu vermeiden gilt

Sicherheitsleute sind großartig in dieser Modellierung von Bedrohungen: Sie erwarten oft dasjenige Schlimmste und sind fantasiebegabt genug, um Grenzfälle auszudenken. Hinwieder jene Eigenschaften münden sie fernerhin dazu, in LTM-Hinschlagen zu tappen, wie zum Leitvorstellung:

  • Zusammenballung zu sehr hinaus Spezialfall. Dies tritt während einer LTM-Ritual hinaus, wenn sich dieser Hauptaugenmerk des Gesprächs von den realistischsten Bedrohungen zu Gunsten von seine Spezialfall abwendet. Um dies zu losmachen, stellen Sie sicher, dass Sie Ihr Umwelt gründlich verstehen. Verwenden Sie Informationen aus Ihrem Security Information and Event Management (SIEM) und anderen Sicherheitsüberwachungssystemen. Wenn Sie wie 10.000 Angriffe hinaus Ihre API-Endpunkte (Application Programming Interface) nach sich ziehen, wissen Sie, dass sich Ihre Gegner darauf verdichten. Darauf sollte sich fernerhin Ihr LTM verdichten.
  • Wird zu technisch. Wenn eine theoretische Schwachstelle entdeckt wurde, springen Techniker oft in den „Problemlösungsmodus“. Am Finale „losmachen“ sie dasjenige Problem und sprechen mehr als die technische Implementierung, anstatt mehr als die Auswirkungen zu sprechen, die Schwachstellen hinaus die Organisation nach sich ziehen. Wenn Sie feststellen, dass dies während Ihrer LTM-Übungen passiert, versuchen Sie, dasjenige Gespräch zurückzuziehen: Sagen Sie dem Team, dass Sie noch nicht mehr als die Implementierung sprechen werden. Sprechen Sie durch die Risiko und Verwicklung erste.
  • Spekulativ, Tools nur bewältigen Risiken. Vielmals erwarten Entwickler, dass ihre Tools jeder Probleme finden. Schließlich ist die Wirklichkeit, dass ein Bedrohungsmodell nicht dazu gedacht ist, eine bestimmte Schwachstelle zu finden. Vielmehr soll dasjenige Gesamtrisiko des Systems hinaus Architekturebene betrachtet werden. Tatsächlich war unsicheres Formgebung eines dieser jüngsten Top 10 Sicherheitsrisiken zu Gunsten von Webanwendungen von OWASP. Sie benötigen Bedrohungsmodelle hinaus architektonischer Schicht, da architektonische Sicherheitsprobleme am schwierigsten zu beheben sind.
  • Verpennen potenzieller Bedrohungen und Schwachstellen. Bedrohungsmodellierung ist keine einmalige Ritual. Es ist wichtig, potenzielle Bedrohungen und Schwachstellen regelmäßig neu zu beziffern, um den sich ständig ändernden Angriffsvektoren und Bedrohungsakteuren immer verschmelzen Schritttempo vorne zu sein.
  • Keine Inspektion von Implementierungsstrategien hinaus hoher Schicht. Wenn potenzielle Bedrohungen und Schwachstellen identifiziert wurden, ist es wichtig, wirksame Gegenmaßnahmen zu implementieren, um sie zu mindern oder zu entsorgen. Dies kann die Implementierung technischer Kontrollen wie Eingabevalidierung, Zugriffskontrolle oder Verschlüsselung sowie nichttechnische Kontrollen wie Mitarbeiterschulungen oder Verwaltungsrichtlinien zusammenfassen.

Fazit

LTM ist ein optimierter Konzept zur Identifizierung, Priorisierung und Minderung potenzieller Sicherheitsbedrohungen und Schwachstellen. Es ist ziemlich entwicklerfreundlich und verschiebt sicheren Quellcode, während es zeitig im Softwareentwicklungslebenszyklus (SDLC) eine Bedrohungsmodellierung durchführt. Besser noch, ein LTM kann von Softwareentwicklern und -architekten selbst erstellt werden, anstatt sich hinaus Labors zu verlassen, um Bedrohungsmodelle zu erstellen.

Durch die konsistente und effektive Weiterentwicklung und Implementierung von LTMs können Unternehmen die kritischsten Sicherheitsrisiken schnell und effektiv identifizieren und tangieren und taktgesteuert häufige Fallstricke und Fehler vermeiden.

What's Your Reaction?
Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0
View Comments (0)

Leave a Reply

Your email address will not be published.

Scroll To Top