Bedrohungsmodellierung - Beginnen Sie mit bösen Personas

Agile Teams verwenden häufig das Konzept der Personas, um maßgeschneiderte Benutzergeschichten zu erstellen. Könnten Sie also böse Personas verwenden, um bösartiges Verhalten zu beschreiben?

Personas sind"synthetische Biografien von fiktiven Nutzern des zukünftigen Produkts" und"eine leistungsstarke Technik, um die Nutzer und Kunden eines Produkts zu beschreiben, um die richtigen Produktentscheidungen zu treffen". Der Zweck der Verwendung von Personas ist es, "zu verstehen, wer die Nutznießer des Produkts sind und welche Ziele sie verfolgen".

Im Grunde genommen helfen Personas den Teams zu verstehen, ob die entworfene Funktionalität tatsächlich den Wünschen der Endbenutzer entspricht. Dies macht es zu einem leistungsstarken Ansatz, um auch mögliche Risiken durch die Einführung böswilliger Benutzer oder "böser Personas" zu identifizieren.

Auch Hacker nutzen Ihre Systeme!

Böse Personas sind im Grunde normale Personas, aber mit entgegengesetzten Zielen. Während normale Personas die beabsichtigte Nutzung Ihrer Anwendungen und Systeme beschreiben, wollen böse Personas Schaden anrichten oder Ihre Daten stehlen. Böse Personas beschreiben ein Verhalten, das Sie verhindern möchten.

Im normalen Leben würden wir böse Persönlichkeiten als "Hacker" bezeichnen. Es gibt jedoch verschiedene Arten von Hackern mit unterschiedlichen Zielen und Arbeitsweisen. Wenn Sie Risiken richtig identifizieren und angehen wollen, ist es wichtig, die verschiedenen Angreifertypen zu unterscheiden. Die Erstellung von Bösewicht-Personas kann Teams dabei helfen, verschiedene Angreifer und ihre möglichen Auswirkungen auf Ihr System schnell zu erkennen, ohne dass Sie ein Sicherheitsexperte sein müssen.

Wenn Sie anfangen möchten, böse Personas zu verwenden, ist es wichtig zu wissen, welche Angreifer für Ihr Unternehmen relevant sind. Sicherheitsspezialisten können Ihnen dabei helfen, relevante Angriffe zu identifizieren und die Motivationen und Ressourcen fein abzustimmen. Um böse Personas zu erstellen, verwenden Sie dieselben Vorlagen wie für normale Personas und es gibt alle Arten von Vorlagen, von sehr einfachen bis zu sehr ausgefallenen.

Beispiele für böse Persönlichkeiten

Übliche böse Personas, auf denen Sie Ihre eigenen Personas aufbauen können, sind die folgenden:

Simon Scriptkiddie

Simon ist nur auf der Suche nach 15 Minuten Ruhm. Alles, was zumindest den Eindruck eines erfolgreichen Hacks vermittelt, ist interessant. Simon hat keine großen Ansprüche und verwendet alle Tools und Tricks, die er im Internet finden kann.

Fred Betrüger

Fred ist auf der Suche nach Möglichkeiten, Geld zu verdienen. Von kostenlosen Artikeln bis hin zu Abonnements ist alles interessant, solange es sich gewinnbringend verkaufen lässt. Fred ist in der Regel Teil einer organisierten Gruppe und verfügt über angemessene Ressourcen in Form von Zeit und Geld. Fred versucht in der Regel, sich unauffällig zu verhalten, damit er das gleiche Problem mehrfach missbrauchen kann.

Peter Phisher

Peter ist nur an den persönlichen Daten Ihrer Kunden interessiert. Je mehr, desto besser. Besonders Bankkonten, Sozialversicherungsnummern, medizinische Daten und Kopien von Ausweispapieren sind es, hinter denen er her ist. Peter konzentriert sich auf jede Möglichkeit, diese Informationen aus Ihren Systemen zu extrahieren und zu sammeln.

Carl Mitbewerber

Carl möchte Ihr geistiges Eigentum und Ihre strategischen Pläne in die Hände bekommen. Carl spielt ein langes Spiel und nimmt sich Zeit, um auf jede erdenkliche Weise in Ihr Unternehmen einzudringen, ohne entdeckt zu werden.

Sam Staat

Sams Ziel ist es, Länder und Unternehmen zu beeinflussen. Er sucht nach Möglichkeiten, Informationen zu sammeln, die es ihm ermöglichen, dies über einen längeren Zeitraum hinweg zu tun. Seine größte Sorge ist es, entdeckt zu werden, also wird er sich auf Möglichkeiten konzentrieren, diese Möglichkeit einzuschränken.

Diese fünf Beispiele sind natürlich sehr allgemein gehalten und sehr generisch. Um das Beste aus den bösen Personas herauszuholen, sollten Sie anfangen, Ihre eigenen zu erstellen! Seien Sie kreativ und beschreiben Sie das Verhalten, über das Sie sich Sorgen machen.

Umarmen Sie böse Persönlichkeiten

Böse Personas sind alle Hacker, aber ihre unterschiedlichen Ziele führen zu unterschiedlichen Sicherheitsrisiken und sind für Ihr Unternehmen nicht gleichermaßen relevant. Fragen Sie Ihre Sicherheits- oder Risikoabteilung, was sie von den verschiedenen Personas halten und für wie relevant sie diese halten. Ihre Sicherheitsexperten können Ihnen auch bei der Feinabstimmung der Personas helfen, indem sie Ihnen relevante Angriffsszenarien vorschlagen. Sobald Sie Ihre eigenen bösen Personas erstellt haben, ist es an der Zeit, ihnen ihre eigenen Geschichten zu geben.

Die Priorisierung bösartiger Personas ist Teil einer Risikobewertung auf hohem Niveau. Durch die Einbeziehung bösartiger Personas in die Verfeinerungssitzungen können die Teams Möglichkeiten für bösartiges Verhalten erkennen und Fehler im Design schnell identifizieren und beheben.

Hinweis: Unsere freundlichen Konkurrenten von zolder.io haben eine Cyberpunk-Grafikbibliothek erstellt, mit der Sie Ihren Personas ein richtig cooles Bild geben können. Schauen Sie sich die Bibliothek in ihrem Github-Repository an: https://github.com/zolderio/wcgw !