Trusselsmodelleringsvejledning
Hvad er trusselsmodellering?
Cyberangreb kommer i mange former, og det kan nogle gange være udfordrende at forsvare sig mod disse angreb. Vi bekymrer os om national cyberspace-sikkerhed, netværkssikkerhed, applikationssikkerhed, datasikkerhed og alt derimellem. Det, der gør det svært for den sikkerhedsprofessionelle, er, at angriberen kan komme på tusind og én måde, og hvert potentielt indgangspunkt skal sikres. Angribere kan slå til hvor som helst, og forsvarere skal forsvare overalt. Før hvert muligt indgangspunkt kan sikres og angrebsvektor adresseres, skal de først identificeres, og det er her trådmodellering kommer i spil.
Trusselsmodellering er, hvordan potentielle trusler kan identificeres, opregnes, klassificeres og afbødes. Det er en proaktiv tilgang, der bruges til at forstå, hvordan forskellige trusler og angreb kan realiseres. Formålet med trusselsmodellering er at give sikkerhedsteams en systematisk analyse af, hvilke modforanstaltninger der skal implementeres, givet aktivets art, de mest sandsynlige angrebsvektorer og de aktiver, der er mest efterspurgt af en angriber. Trusselsmodellering besvarer spørgsmål som 'Hvor er jeg mest sårbar over for angreb?', 'Hvilke trusler, hvis de udføres, kan resultere i større effekt?', og 'Hvilke modforanstaltninger er nødvendige for at sikre mod disse trusler?'.
Hvorfor er trusselsmodellering vigtig?
Cyberangrebs dynamiske karakter gør trusselsmodellering fundamental for sikkerhed. Sikkerhedens angrebs- og forsvarssider ændrer sig konstant. For at reagere passende på denne ændring skal organisationer revurdere og udvikle deres forsvar løbende. Derudover skal applikationer eller systemer designes til at være modstandsdygtige over for angreb. Men etablering af passende sikkerhedskontroller, der er nødvendige for at opnå modstandsdygtighed, har nogle økonomiske konsekvenser.
Det grundlæggende princip bag trusselsmodellering er, at der altid er begrænsede ressourcer til sikkerhed, hvilket gør det vanskeligt at afbøde enhver trussel i et system. Det er derfor nødvendigt at bestemme, hvordan man bruger disse begrænsede ressourcer effektivt. Organisationer skal prioritere risici og behandle dem derefter. En kritisk faktor til at bestemme risikoen er en trussel. Trusselsmodellering hjælper organisationer med systematisk at identificere trusselsscenarier, der er relevante for systemet, for at implementere effektive modforanstaltninger til at beskytte dem. Det er derfor trusselsmodellering er afgørende. Det hjælper sikkerhedsteams med at forstå, hvordan systemer kan være sårbare, og hvilke kontrolrettelser der er nødvendige for at prioritere rettelser i forhold til alvoren og virkningen af forventede trusler.
Hvordan trusselsmodellering passer ind i risikovurdering
Risikovurdering identificerer sikkerhedsrisici ved at analysere aktiver, trusler og sårbarheder, herunder deres alvor og sandsynligheden for forekomst. På den anden side giver trusselsmodellering mulighed for større fokus på aktiverne og identificering af potentielle trusler og angrebsvektorer, der kunne udnytte sårbarheder fundet på disse aktiver og deres komponenter under risikovurdering. Derudover ser den på, hvem der højst sandsynligt ville ønske at angribe aktivet, og hvordan de med succes kunne gøre det.
Trusselsmodellering er faktisk en form for risikovurdering, der modellerer aspekter af angrebs- og forsvarssiden af et system eller dets komponenter. Det øger risikovurderingsprocessen ved at generere kontekstualiserede trusselshændelser med en velbeskrevet sekvens af handlinger, aktiviteter og scenarier, som angriberen kan tage for at kompromittere aktivet eller systemet. Dette hjælper sikkerhedsteams med at komme med mere målrettede kontroller og modforanstaltninger. Diagrammet nedenfor viser, hvordan trusselsmodellering og risikovurdering passer sammen.
Komponenter i en trusselsmodelleringsproces
Forskellige tilgange eller metoder bruges til trusselsmodellering; det vil vi diskutere i næste afsnit. Men alle disse metoder har nogle processer eller logiske flow, som de deler til fælles. Lad os nu undersøge disse grundlæggende logiske flow:
Etablere projektteam og omfang : Trusselsmodelleringsteamet bør være så heterogent som muligt for at garantere en mere afrundet trusselsmodel. Det bør omfatte nøgleinteressenter såsom ledere på C-niveau, netværksingeniører, udviklere og sikkerhedschefer. Derefter skal du definere og beskrive omfanget af arbejdet, herunder det tekniske omfang, systemarkitektur, systemkomponenter, sikkerhedsomkredse og datastrømme, før du udfører trusselsmodellering for målsystemet. Dette involverer indsamling af information og afgrænsning af perimetergrænser.
Nedbryd systemet eller applikationen : Systemnedbrydning er at nedbryde et system i dets forskellige komponenter. Dette involverer identifikation af systemkomponenter, tegning af, hvordan data flyder og opdeling af tillidsgrænser. En af teknikkerne til at dekomponere et system er at bygge et dataflowdiagram (DFD). DFD'er hjælper brugerne med at få bedre indsigt i systemet ved at give en visuel repræsentation, der illustrerer datastrømme i systemet og de handlinger, brugerne kan udføre i en systemtilstand. Nogle modeller er afhængige af procesflowdiagrammer (PFD'er) i stedet for DFD'er. Når den er afsluttet, bruges den visuelle repræsentation til at identificere og opregne potentielle trusler.
Identificer sandsynlige trusler: Trusselsidentifikation involverer at identificere og dokumentere trusselsvektorer og hændelser. Derefter skal du for alle potentielle mål bestemme, hvor der findes farer, og bruge trusselsscenarier og angribe træer til at identificere mulige sårbarheder, der kan udnyttes. Trusselsmodelleringsværktøjer kan også bruges til at automatisere dette trin.
Angrebsmodellering : Angrebsmodellering beskriver en angribers tilgang til indtrængen, så brugere kan identificere de afbødningskontroller, der er nødvendige for at forsvare systemet og prioritere dets implementering. Efter at have placeret trusselshændelser, der er relevante for systemet, skal du binde dem til en mulig sekvens af angreb. Dette indebærer at kortlægge rækkefølgen af angreb, beskrive taktikker, teknikker og procedurer og skabe trusselsscenarier. Angrebsrammer såsom MITER ATT&CK eller Lockheed Martin Kill Chain kan bruges til at modellere angrebet.
Implementer afbødninger . Ved at forstå angrebsvektorerne og sikkerhedsrisici på forskellige stadier kan du anvende passende kontroller og modforanstaltninger for at afbøde trusler eller mulige angreb eller minimere deres indvirkning. Udvikle strategier til at begrænse disse trusler. Dette omfatter typisk at undgå faren, reducere den negative effekt eller sandsynlighed for truslen, at overføre hele eller en del af truslen til en anden part og endda acceptere nogle eller alle de potentielle eller faktiske konsekvenser af en bestemt trussel. Det modsatte af disse strategier kan bruges til at reagere på muligheder.
Trusselsmodelleringsrammer og -metoder
Der er flere tilgængelige metoder og rammer, du kan bruge til at udføre trusselsmodellering. Trusselsmodelleringsmetoder kan kategoriseres efter tilgangenes fokus. Disse tilgange omfatter dem, der fokuserer på aktiver i det system, der trusselsmodelleres (aktivcentreret), dem, der fokuserer på angriberne (angrebscentreret trusselsmodellering), og de tilgange, der fokuserer på softwaren eller systemet (softwarecentreret eller systemcentreret trusselsmodellering). Beslutningen om, hvilke metoder der skal implementeres, afhænger af systemet eller typerne af trusler, der er modelleret og til hvilket formål. Nedenfor er nogle af de trusselsmodelleringsmetoder, der almindeligvis anvendes i dag:
STRID : Microsofts ingeniører udviklede STRIDE-metoden i 1999 til at guide opdagelsen af trusler i et system. Det bruges sammen med en model af målsystemet, der kan konstrueres parallelt. Dette inkluderer en fuldstændig opdeling af processer, datalagre, datastrømme og tillidsgrænser. STRIDE er et akronym for de typer trusler, den adresserer. Tabellen nedenfor er en oversigt over de forskellige trusler, der administreres af STRIDE og de tilknyttede egenskaber, der er blevet krænket:
Spoofing | Autenticitet | Foregiver at være noget eller nogen, du ikke er |
Indgreb | Integritet | Ændring af data i et system for at opnå et ondsindet mål. |
Afvisning | Ikke forkastelig | Hævder ikke at være ansvarlig for en handling |
Videregivelse af oplysninger | Fortrolighed | Lækker beskyttet information til uautoriserede enheder. |
Denial of service (DoS) | Tilgængelighed | Udmatte eller nægte adgang til ressourcer, der er nødvendige for at levere service |
Forhøjelse af privilegier | Bemyndigelse | At tillade nogen at gøre noget, de ikke er autoriseret til |
Tabel 1.0 | STRIDE-trusler og de tilhørende egenskaber overtrådt
OCTAVE: Operationally Critical Threat, Asset and Vulnerability Evaluation (OCTAVE) er en aktiv- og operationscentreret trusselsmodelleringsmetodologi udviklet i 2003 på Carnegie Mellon University for at hjælpe organisationer med at vurdere ikke-tekniske risici, der kan følge af et databrud. OCTAVE består af følgende faser:
- Opbygning af aktivbaserede trusselsprofiler – organisatorisk evaluering.
- Identifikation af infrastruktursårbarheder – evaluering af informationsinfrastruktur
- Udvikling og planlægning af en sikkerhedsstrategi – evaluering af risici for organisationens kritiske aktiver og beslutningstagning.
Med OCTAVE identificeres en organisations informationsaktiver, og datasættene indeholder attributter baseret på typen af lagrede data. OCTAVE er mest nyttigt, når du skal skabe en risikobevidst virksomhedskultur. Det mangler dog skalerbarhed.
Trike: Trike er en open source-aktiv-centreret ramme til trusselsmodellering og risikovurdering.
Projektet startede i 2006 for at forbedre effektiviteten og effektiviteten af eksisterende trusselsmodelleringsmetoder. Trike er fokuseret på at tilfredsstille sikkerhedsrevisionsprocessen ud fra et cyberrisikostyringsperspektiv. Grundlaget for Trike-trusselsmodelleringsmetoden er en 'kravmodel' - som sikrer, at det tildelte risikoniveau for hvert aktiv er 'acceptabelt' for de forskellige interessenter.
Trusler identificeres ved at gentage et dataflowdiagram (DFD). Identificerede trusler er grupperet i to kategorier: lammelsesangreb eller forhøjelse af privilegier. Implementeringsmodellen analyseres derefter for at producere en Trike-trusselsmodel.
PASTA : Processen for angrebssimulering og trusselsanalyse (PASTA) er en syv-trins, angrebscentreret metode designet i 2015 for at hjælpe organisationer med at tilpasse tekniske krav til forretningsmål, mens de overvejer forretningskonsekvensanalyse og compliancekrav. Målet med denne metode er at give en dynamisk trusselsidentifikation, optælling og scoringsproces. PASTA er fokuseret på at guide teams til at identificere, tælle og prioritere trusler dynamisk. Den overordnede rækkefølge er som følger:
- Definer forretningsmål
- Definer teknisk omfang
- Anvendelsesnedbrydning
- Trusselsanalyse
- Sårbarheds- og svaghedsanalyse
- Angrebsoptælling og modellering
- Risikoanalyse og modforanstaltninger
Når trusselsmodellen er afsluttet, kan der udvikles en detaljeret analyse af de identificerede trusler og passende sikkerhedskontroller. PASTA-trusselsmodellering er ideel for organisationer, der ønsker at tilpasse sig strategiske mål, fordi den inkorporerer forretningskonsekvensanalyse som en integreret del af processen.
NIST trusselsmodelleringsvejledning: U.S. National Institute of Standards and Technology (NIST) udgav i 2016 sin egen datacentreret trusselsmodelleringsmetode der fokuserer på at beskytte data af høj værdi i systemer. Den modellerer aspekter af angreb og forsvar for udvalgte data. I denne model udføres risikoanalyse ved hjælp af følgende fire væsentlige trin:
- Identificer og karakteriser systemet og data af interesse
- Identificer og vælg de angrebsvektorer, der skal inkluderes i modellen
- Karakteriser sikkerhedskontrollerne for at afbøde angrebsvektorerne
- Analyser trusselsmodellen
Vejledningen er målrettet sikkerhedsledere, sikkerhedsingeniører/arkitekter, systemadministratorer, revisorer og andre med ansvar for sikkerheden af systemer og data. Ifølge forfatterne er 'hensigten ikke at erstatte eksisterende metoder, men snarere at definere grundlæggende principper, der bør være en del af enhver sund datacentreret systemtrusselsmodelleringsmetoder.
VAST: The Visual, Agile, and Simple Threat (VAST) er en meget skalerbar modelleringsmetodologi, der entydigt adresserer både udvikler- og infrastrukturteamets bekymringer. Automatisering, integration og samarbejde er grundlæggende for VAST-trusselsmodellering. VAST er bygget op omkring ThreatModeler — et automatiseret trusselsmodelleringsværktøj designet til at integreres i hele softwareudviklingslivscyklussen (SDLC). Denne metode anvender to trusselsmodeller: Applikationstrusselmodeller for udviklingsteams og operationelle trusselsmodeller for infrastrukturholdene.
Applikationstrusselmodeller for udviklingsteams oprettes med procesflowdiagrammer (PFD) – et flowchart, der hjælper med at beskrive det generelle flow i en forretningsproces, og hvordan brugeren vil interagere med systemet. VAST bruger PFD'er i stedet for DFD'er for at give dybere kontekstuelle indsigter og en visning, der ligner en angribers. På den anden side bruger operationelle trusselsmodeller de traditionelle DFD'er, der også præsenteres fra en angribers perspektiv.
Valg af den rigtige metode til trusselsmodellering
Med forskellige trusselsmodelleringsmetoder derude, kan det være udfordrende at vælge den rigtige til din virksomhed og miljø. Ikke alle trusselsmodelleringsmetoder er skabt med den samme tilgang. Nogle fokuserer på, at systemets aktiver trusselsmodelleres, nogle på angriberne, og nogle på systemet eller softwaren, der trusselsmodelleres.
Selvom alle trusselsmodelleringsmetoder kan identificere potentielle trusler, vil antallet og typen af identificerede trusler variere betydeligt, herunder kvaliteten, konsistensen og værdien modtaget fra disse trusselsmodeller. Det, der passer perfekt ud fra et funktions- og modelleringssynspunkt for én organisation, passer måske ikke til en anden. For at sikre, at trusselsintelligensen er handlingsdygtig, skal sikkerhedsteams dechifrere, hvilken metode der stemmer overens med deres specifikke forretningsmål og -mål.
Du skal overveje en række faktorer, såsom systemet eller typen af trusler, som trusselsmodelleres, og til hvilket formål modelleringstilgangen (aktivcentreret, angrebscentreret eller softwarecentreret), der passer bedst til dine behov, ønsket resultat, evne til at skalere, kapacitet til at generere rapporter og evne til at måle effektiviteten af trusselsmodelleringen, blandt andet.
Trusselsmodelleringsværktøjer
Trusselsmodellering kan være en kompleks og tidskrævende proces. Nogle værktøjer kan dog automatisere processen og reducere tiden og omkostningerne. Et godt trusselsmodelleringsværktøj lader brugere visualisere, designe, planlægge og forudsige alle mulige mulige trusler. Microsoft Visio, Excel og PowerPoint er blandt de mest almindelige værktøjer, der bruges til trusselsmodellering. Andre almindeligt anvendte kommercielle og open source-trusselsmodelleringsværktøjer omfatter:
1. Microsoft Threat Modeling Tool
Microsofts Threat Modeling Tool blev designet med ikke-sikkerhedseksperter i tankerne og er tilgængelig gratis. Værktøjet kan tilsluttes ethvert problemsporingssystem, hvilket gør trusselsmodelleringsprocessen til en del af standardudviklingsprocessen. Derudover giver den klar vejledning om oprettelse og analyse af trusselsmodeller og gør det muligt for udviklere eller softwarearkitekter at:
- Kommuniker om sikkerhedsdesignet af deres systemer.
- Analyser disse designs for potentielle sikkerhedsproblemer ved hjælp af en gennemprøvet metode.
- Foreslå og administrer afhjælpning af sikkerhedsproblemer.
2. OWASP Threat Dragon
OWASP Threat Dragon er et open source-trusselsmodelleringsværktøj, der bruges til at skabe trusselsmodeller som en del af en sikker udviklingslivscyklus. Threat Dragon følger værdierne og principperne i trusselsmodelleringsmanifest .
Fordele:
- Fuldstændig open source og gennemsigtig platform
- Understøtter populære metoder som STRIDE
- Har stærk opbakning fra lokalsamfundet
- Understøtter en bred vifte af integrationer
Ulemper:
- Bedre egnet til ikke-virksomhedsmiljøer
Threat Dragon understøtter STRIDE og andre metoder og kan dokumentere mulige trusler og tage stilling til deres afhjælpning.
3. ThreatModeler
ThreatModeler er et automatiseret moderne trusselsmodelleringsværktøj, der implementerer VAST-metoden. Værktøjet er designet til at integreres i et agilt softwareudviklingsmiljø og levere handlingsrettede output for udviklere og sikkerhedsteams til at identificere, forudsige og definere trusler.
Fordele:
- Brugervenlig trusselsmodellering
- Kan tilpasse trusselsbiblioteker på projektbasis
- Integreres med populære værktøjer som JIRA eller Jenkins
Ulemper:
- Grænsefladen kan til tider føles primitiv
Derudover leverer ThreatModeler et holistisk overblik over hele angrebsoverfladen, hvilket gør det muligt for virksomheder at minimere deres samlede risiko.
4. securiCAD Professional
securiCAD Professional af Foreseeti gør det muligt for sikkerhedsteams at designe virtuelle modeller af eksisterende og fremtidige it-infrastrukturer. Angrebssimuleringerne på en virtuel model og afbødningstestning giver detaljeret indsigt om vellykkede angrebsstier og højst sandsynligt dræbende kæder.
Fordele:
- Designet med sikkerhedsteams i tankerne
- Giver en række forskellige muligheder for angrebssimulering
- Tilbyder en enkel, men kraftfuld måde at få adgang til forskellige afhjælpningsmuligheder
Ulemper:
- Ideel til mellemstore til store sikkerhedsteams
Derudover kan brugere virtuelt vurdere sikkerhedsreduktioner implementeret i securiCAD for at finde den mest effektive måde at eliminere cybertrusler på.
5. IriusRisk
Iriusrisk er et trusselsmodelleringsværktøj, der udfører risikoanalyse og genererer en trusselsmodel af en softwareapplikation i designfasen med anbefalinger til, hvordan man kan håndtere risikoen.
Fordele:
- Brugervenlige modelleringsværktøjer
- Enterprise-versionen inkluderer API-adgang til store projekter
- Indeholder en gratis version
Ulemper:
- Bedre egnet til planlægning og trusselsmodellering
Det er et guidebaseret træk-og-slip-værktøj, som du kan bruge til at generere trusselskort med indsigt i, hvad du skal kigge efter.
6. SD Elementer
SD elementer by Security Compass er en integreret risikovurderings-, sikker kodnings- og trusselsmodelleringsplatform, der tillader automatisering af hele sikkerhedsprocessen, mens den udnytter balanceret udviklingsautomatisering (BDA). Dette hjælper med at maksimere tid og værdi.
Fordele:
- Indeholder risikovurderingsværktøj kombineret med avancerede trusselsmodelleringsværktøjer
- Kan automatisere mange scanninger, tests og vurderinger
- Giver en fantastisk blanding af tid og værdi
- Bedst til større miljøer
Ulemper:
- Det kan tage tid at udforske alle muligheder og funktioner fuldt ud
7. Sikkerhed
Det Sikkerhed Threat Modeling Automator er et STRIDE-understøttet SaaS-baseret værktøj designet til at muliggøre sikkerhed på det arkitektoniske stadium. Deres tilgang er enkel: upload et diagram af dit system (med dets annoterede data) i draw.io, Visio eller Excel-format, og det vil generere din trusselsmodel. Den udviklede trusselsmodel vil identificere elementerne, datastrømmen og truslerne og anbefale afbødninger.
Fordele:
- Fokuserer stærkt på automatisering af trusselsanalyse
- Et meget fleksibelt SaaS-værktøj
- Kan generere detaljerede trusselsmodeller baseret på netværksdiagrammer
- Understøtter STRIDE-rammen
Ulemper:
- Kræver en rimelig grad af teknisk ekspertise for at fungere