#RSAC: Klartext-Bedrohungsmodellierung für DevSecOps

  • Die Modellierung von Bedrohungen ist ein Ansatz, der potenziell übermäßig kompliziert sein kann, aber das muss nicht so sein, so Alyssa Miller, Business Information Security Officer (BISO) bei S&P Global Rating, in einer Sitzung auf der RSA Conference 2022,

    Miller erläuterte außerdem einen Ansatz für die Klartext-Bedrohungsmodellierung, der dazu beitragen kann, DevSecOps-Bemühungen zu beschleunigen.

    „Die Modellierung von Bedrohungen ist etwas, das wir jeden Tag tun; es ist etwas, das für uns alle natürlich und inhärent ist“, sagte Miller.

    Auf der grundlegendsten Ebene erklärte sie, dass es bei der Bedrohungsmodellierung um die Beantwortung zweier grundlegender Fragen geht. Bei der ersten Frage geht es darum, zu definieren, was im Hinblick auf die Vermögenswerte wichtig ist. Die zweite Frage ist, was bei diesen Werten, die eine potenzielle Bedrohung darstellen könnten, schief gehen könnte.

    Das Manifest zur Bedrohungsmodellierung

    Im Jahr 2020, auf dem Höhepunkt der COVID-19-Pandemie, setzten sich Miller und 14 andere Sicherheitsexperten virtuell zusammen und verfassten das Manifest zur Bedrohungsmodellierung.

    Das Manifest ist ein Versuch, zu definieren, worum es bei der Bedrohungsmodellierung geht, und eine Reihe von Grundsätzen für die Praxis aufzustellen. Das Manifest definiert die Bedrohungsmodellierung als eine Analyse eines Systems, um Bedenken hinsichtlich der Sicherheits- und Datenschutzmerkmale aufzuzeigen. Das Ergebnis des Bedrohungsmodells dient als Grundlage für Entscheidungen, die ein Unternehmen in den nachfolgenden Phasen der Konzeption, Entwicklung, Prüfung und Nachbereitung der Implementierung treffen kann.

    Das Manifest weist auch darauf hin, dass jede Organisation ihre eigene Methodik für die Bedrohungsmodellierung haben sollte, die auf ihre Geschäftsziele und -struktur abgestimmt ist.

    Fünf Werte der Bedrohungsmodellierung

    Miller sagte, dass es fünf Werte der Bedrohungsmodellierung gibt, die in dem Manifest beschrieben werden. Eine Kultur des Auffindens und Behebens von Designproblemen anstelle der Einhaltung von Kontrollkästchen. Sie wies darauf hin, dass das Ziel der Bedrohungsmodellierung darin besteht, dass sie Teil der Unternehmenskultur wird. Menschen und Zusammenarbeit statt Prozesse, Methoden und Tools. Miller sagte, dass IT-Organisationen dazu neigen, die Menschen und Prozesse zu vergessen, wenn sie sich zu sehr auf die Automatisierung konzentrieren. Eine Reise des Verständnisses über Sicherheit und Datenschutz Momentaufnahme. Die Modellierung von Bedrohungen ist keine punktuelle Aktivität. Vielmehr ist es eine Reise, bei der Unternehmen ständig versuchen, Probleme zu finden und zu beheben. Wir legen mehr Wert darauf, Bedrohungsmodelle zu erstellen, als darüber zu reden. Miller betonte, dass die Bedrohungsmodellierung ein aktiver Vorgang ist. Anstatt nur darüber zu debattieren, was getan werden sollte, schlägt sie vor, dass Unternehmen einfach den Sprung wagen und mit der Implementierung von Ansätzen beginnen, die helfen, Bedrohungen zu identifizieren und zu verstehen. Kontinuierliche Verfeinerung über eine einzige Lieferung. Damit die Bedrohungsmodellierung effektiv funktionieren kann, müssen die Modelle in einem wiederholbaren Prozess ständig verfeinert werden, so Miller. Sogar der Aufbau unserer Bedrohungsmodellierungsmethodik muss ein kontinuierlicher Verfeinerungsprozess sein.

    „Unsere Aufgabe ist es, ständig zu reagieren, um das zu tun, müssen wir uns ständig verbessern“, sagte sie.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com