Mit der Bedrohungsmodellierung beginnen - Teil 1

Wenn Sie technische Bewertungen oder auch nur kleine Überprüfungen von Anwendungen vornehmen, werden Sie oft hören: "Wie zum Teufel sind Sie darauf gekommen?" oder "Wie konnten wir das nur vergessen." Wir wissen, dass Sie einen Experten nie fragen sollten, wie er etwas macht, denn der Anreiz und die Sichtweise unterscheiden sich von der Durchführung und Beobachtung der eigentlichen Aufgabe. (Wie in dem Buch Outliers von Malcolm Gladwell erklärt wird). Aber aus der Untersuchung dessen, was in den meisten Unternehmen funktioniert, wissen wir, dass die Bedrohungsmodellierung oft als Einstiegsdroge für Teams gesehen wird, um über die bösartige Nutzung eines Systems nachzudenken. Außerdem ist es eine der am wenigsten invasiven Techniken für Teams, mit dem Thema Sicherheit zu beginnen.

Kurz gesagt, bei der Bedrohungsmodellierung geht es einfach darum, festzustellen: Was tun wir gerade? Kann etwas schief gehen? Wenn dies wichtig genug ist, was können wir dagegen tun? Zur Beantwortung dieser Fragen werden im Wesentlichen drei Ergebnisse erstellt:

• Modelle - Holen Sie sich Ihre Ideen aus dem Kopf und bringen Sie sie auf ein Medium, das in Teams verwendet werden kann, um sie mit anderen zu teilen.
• Missbräuche - Arbeiten Sie an den Dingen mit, von denen wir nicht wollen, dass sie passieren
• Abhilfemaßnahmen - Beschreiben Sie, wie die Wahrscheinlichkeit eines Missbrauchs verringert werden kann oder wie dieser weniger Auswirkungen haben kann.

Wenn Sie mit dem Konzept beginnen, nehmen Sie sich Zeit. Fangen Sie nicht gleich an, ein Tool oder Framework zu verwenden und herauszufinden, wie Sie es in Ihre Arbeitsweise einbinden können. Es ist besser, klein anzufangen, sich anzupassen und bei Bedarf zu wachsen, als ständig auf die perfekte Lösung zu warten. Es wird nie eine geben, also fangen Sie einfach an.

Erste Schritte

Beginnen Sie mit einem der oben genannten Deliverables, bevor Sie sich an die gleichzeitige Verwendung aller drei wagen. Das Produkt, das die meisten Menschen von Anfang an nutzen, ist Misuses. Dinge zu zerstören macht immer Spaß. Und wir wollen, dass Sicherheit Spaß macht oder nützlich ist, besonders am Anfang. Sie haben nur eine Chance für Ihren ersten Eindruck. Nehmen Sie Ihre Anwendungsfälle oder kommenden Aufgaben während einer Sprintsitzung und versuchen Sie, die folgende Frage zu beantworten.

Wenn ein rechtmäßiger Benutzer mit vollem Zugriff auf die Funktionen böswillig wird, was könnte dieser Benutzer dann tun?

Der Grund, warum wir uns für diese Persona entscheiden, ist zweierlei: Erstens wird das "Ja, aber das haben wir doch schon oder das ist ein Backend-System" vermieden. Das bedeutet, dass sie von der Annahme ausgehen müssen, dass einige Abhilfemaßnahmen keinen Nutzen mehr haben. Und die zweite ist eine Persona, mit der sie sich identifizieren können und verstehen, welche Möglichkeiten sie haben. Hätten wir die Persona "ein Hacker hat alle Schutzmaßnahmen umgangen und hat nun vollen Zugriff auf die Funktionalität" gewählt, dann würde der Start für ein Team so unwahrscheinlich klingen? Außerdem haben sie keine Ahnung, wie Ihr böser Angreifer arbeitet, welche Fähigkeiten er/sie hat und welche Ressourcen zur Verfügung stehen. In der Tat weiß das niemand, was die Änderung der Chance X Auswirkung, meist zu einem nutzlosen Wert macht. Aber das ist ein anderes Thema.

Dann fragen Sie sich, ob wir etwas tun können, um dies zu verhindern oder die Wahrscheinlichkeit zu verringern, dass es passiert oder sich auf uns auswirkt. Wenn es nicht so wichtig ist oder Investitionen in die Vorbeugung nicht möglich sind (Zeit/Ressourcen/technische Möglichkeiten), woher sollen wir dann wenigstens wissen, dass es passiert ist? Wie können wir es also erkennen? Und schließlich, wenn wir es nicht bemerkt haben, es aber trotzdem passiert ist, was tun wir dann, wenn wir es im Nachhinein entdecken? Wie würden Sie reagieren? Welche Schritte haben wir für den Fall der Fälle vorgesehen? Übrigens, wenn Sie das MITRE-Rahmenwerk verwenden, gibt es noch weitere Optionen, aber beginnen Sie mit dem einfachen Ansatz.

Missbrauchsfälle

Sobald 1 oder 2 Iterationen durchgeführt wurden, können wir zum nächsten Schritt übergehen. Anstatt die obige Frage zu stellen, fangen Sie nun an, Missbrauchsfälle hinzuzufügen. Es gibt viele Möglichkeiten, aber die einfachste und effektivste ist, einfach den "normalen" Anwendungsfall zu nehmen und überall im Satz das Wort "Nicht" hinzuzufügen.

Anwendungsfall:

• Als Benutzer kann ich meine Rechnungen herunterladen.

Missbrauchs-Fall:

• Als Nicht-Benutzer kann ich meine Rechnungen herunterladen
• Als Benutzer kann ich meine Rechnungen nicht herunterladen .
• Als Benutzer kann ich nicht meine Rechnungen herunterladen (sondern etwas anderes)

Wenn Sie es richtig gemacht haben, haben Sie das Objekt, das Subjekt und das Verb umgedreht und damit Vertraulichkeit, Integrität und Verfügbarkeit getroffen. Nehmen Sie nun diese Liste und unterteilen Sie sie in Probleme, die angegangen werden müssen und solche, die warten können. Versuchen Sie dann, den gefundenen Risiken vorzubeugen, sie zu erkennen oder auf sie zu reagieren, um sie abzumildern. In den nächsten Schritten werden Sie versuchen, einen Mehrwert zu schaffen, indem Sie sich mit dem Risiko befassen und es in den Lebenszyklus der Entwicklung einbeziehen. Dies wird in Teil 2 geschehen.