From Threat Modeling to Threat Management

Slide 1

Slide 1 text

Threat Modeling Ein wichtiger Schritt zu besserer IT-Sicherheit Raphael Esterle Oliver Tigges

Slide 2

Slide 2 text

3 > who are we Oliver Tigges Software-Entwickler Projektleiter Contributor ThreatShield Raphael Esterle Software-Entwickler mit Fokus auf IT-Security

Slide 3

Slide 3 text

5 Agenda Threat Modeling 1. Warum, wie und wann? 2. Vorgehen 3. Threats managen 4. Fragen und Diskussion

Slide 4

Slide 4 text

6 1. Threat Modeling

Slide 5

Slide 5 text

7 Threat Modeling. Was ist das?

Slide 6

Slide 6 text

8 Threat Modeling. Was ist das? Threat -> Bedrohung Modeling -> Modellierung Systemmodellierung und Systemanalyse Ziel: Bedrohungen erkennen und darauf reagieren

Slide 7

Slide 7 text

9 Threat Modeling. Warum?

Slide 8

Slide 8 text

10 Threat Modeling. Warum? Bewusstsein für system- spezifische Bedrohungen schaffen Bestandteil der Systemdokumentation Hoher Kosten-Nutzen-Faktor

Slide 9

Slide 9 text

11 2. Vorgehen

Slide 10

Slide 10 text

12 Vorgehen 1. Kontext abgrenzen 2. System modellieren 3. Bedrohungen identifizieren 4. Risikobewertung 5. Risikomanagement

Slide 11

Slide 11 text

13 Kontext

Slide 12

Slide 12 text

14 Name: TechMech International GmbH Branche: 3D-Druck für Leichtbaukomponenten Kunden: Luft- und Raumfahrt Mitarbeiter: ca. 300 Standort: Bergisches Land Innovationen aus dem Bergischen für die Welt. Mittelstand, produzierendes Unternehmen Kunde aus: Luft- und Raumfahrtindustrie IT-Infrastruktur primär On-Premise Microsoft365 und ausgewählte Azure Dienste

Slide 13

Slide 13 text

15 Use Cases Auftragsverwaltung • Aufträge managen und tracken • Arbeitsaufträge verwalten Website • Allgemeine Firmeninformationen bereitstellen • Kunden können Auftragsstatus einsehen

Slide 14

Slide 14 text

16 Conny - Wettbewerberin Jana - Journalistin Hank – Cyber-Krimineller Ingrid – Angestellte Serge – Geheimdienstler Andy -Aktivist Ralph – Unzufriedener Kunde Sally – Hosting-Dienstleister Sam - Saboteur Threat Actors

Slide 15

Slide 15 text

17 Conny - Wettbewerberin Kompetenz Zielgerichtet Ressourcen Jana - Journalistin Hank – Cyber-Krimineller Ingrid – Angestellte Serge – Geheimdienstler Andy -Aktivist Ralph – Unzufriedener Kunde Sally – Hosting-Dienstleister Sam - Saboteur Werte sind stereotypisch, nicht statistisch Personas Threat Actors

Slide 16

Slide 16 text

19 Modellierung

Slide 17

Slide 17 text

20 Assets Auftragsdaten Kundendaten Inhalte der Website

Slide 18

Slide 18 text

21 Datenflussdiagramme: Externe Entitäten Authentifizierung (über externen Anbieter) Mitarbeiter der TechMech Kunde der TechMech Interessierte externe Person Website- Besucher Mitarbeiter Kunde IAM (Identity & Access Management)

Slide 19

Slide 19 text

22 Datenflussdiagramme: Prozesse Anlegen und Bearbeiten von Kundendaten und Aufträgen. Arbeitsaufträge einsehen und abschließen Tracking des Auftragsstatus Auslieferung der Firmenwebsite Einsicht in Auftragsstatus durch Kunden Website Auftrags- verwaltung

Slide 20

Slide 20 text

23 Datenflussdiagramme: Datenspeicher Speichert Änderungen an Kunden- und Auftragsdaten sowie Zeitpunkt und Initiator der Änderung Speichert Kunden- und Auftragsdaten

Slide 21

Slide 21 text

24 Datenflussdiagramme: Datenflüsse

Slide 22

Slide 22 text

25 Datenflussdiagramme: Datenflüsse

Slide 23

Slide 23 text

26 Datenflussdiagramme: Datenflüsse

Slide 24

Slide 24 text

27 Datenflussdiagramme: Trust Boundaries

Slide 25

Slide 25 text

28 Datenflussdiagramme: Trust Boundaries Nur Mitarbeiter sind berechtigt Aufträge einzusehen

Slide 26

Slide 26 text

29 Datenflussdiagramme: Trust Boundaries Nur Mitarbeiter sind berechtigt Aufträge einzusehen Nur die Auftragsverwaltung ist berechtigt abzufragen

Slide 27

Slide 27 text

Slide 28

Slide 28 text

31 Bedrohungen identifizieren

Slide 29

Slide 29 text

32 Vertrau- lichkeit Integrität Verfüg- barkeit Authen- tizität Nicht- Abstreit- barkeit Zuver- lässigkeit CIA-Triade: Confidentiality, Integrity, Availability

Slide 30

Slide 30 text

33 STRIDE Schutzziel Bedrohungsklasse Authentizität Spoofing (Täuschung) Integrität Tampering (Manipulation) Nicht-Abstreitbarkeit Repudiation (Abstreitbarkeit) Vertraulichkeit Information Disclosure (Offenlegung von Informationen) Verfügbarkeit Denial of service (Verweigerung des Dienstes) Vertraulichkeit/Integrität Elevation of privilege (Rechteausweitung)

Slide 31

Slide 31 text

34 Bedrohungen identifizieren Bedrohungsklasse Bedrohungen Spoofing (Täuschung) Mitarbeiter kann sich mit gestohlenem Token als anderer Mitarbeiter ausgeben. Tampering (Manipulation) Auftragsdaten können auf Grund von mangelnder Eingabevalidierung ohne Berechtigung verändert werden Denial of service (Verfügbarkeit) Invaliede Eingaben bringen die Auftragsverwaltungzum Absturz ... ...

Slide 32

Slide 32 text

35 Bedrohungen identifizieren Bedrohungsklasse Bedrohungen Information Disclosure (Offenlegung von Informationen) Angreifer fängt übertragene Kundendaten ab Tampering (Manipulation) Angreifer verändert übertragenen Auftragsdaten (mitm) Denial of service (Verfügbarkeit) Angreifer gibt sich als Auftragsverwaltung aus und fängt alle abfragen ab. ... ...

Slide 33

Slide 33 text

36 Weitere (kreative) Ansätze OWASP Top Ten ATT&CK von MITRE ThreatShield Das Kartenspiel „Elevation of Privilege“ https://shostack.org/games/elevation-of-privilege

Slide 34

Slide 34 text

37 3. (Kontinuierlich) Managen

Slide 35

Slide 35 text

Slide 36

Slide 36 text

39 4. Zusammenfassung

Slide 37

Slide 37 text

40 Zusammenfassung 1. Threat Modeling ist ein analytischer Ansatz 2. Vielfälte Tools und Methoden (z.B. STRIDE) 3. Kontinuierlicher Prozess mit vielen Beteiligten (TARA, CTEM) 4. Einfacher Schritt zu besserer IT-Sicherheit: Wenig Tools, Kosten, Know-How

Slide 38

Slide 38 text

41 Empfehlungen https://shostack.org https://owasp.org/www-community/Threat_Modeling Threat Dragon Microsoft Threat Modeling Tool https://attack.mitre.org/

Slide 39

Slide 39 text

Mastertextformat bearbeiten 42 Danke fürs Zuhören! Fragen und (hoffentlich) Antworten https://inspired.consulting https://threatshield.eu