Bedrohungsanalyse

    Was ist Bedrohungsmodellierung?

    Unternehmen nutzen die Bedrohungsmodellierung, um ihre Gefährdung durch Angriffe zu analysieren, Reaktionen zu planen und die Ergebnisse zu bewerten. So funktioniert es.

    by Mercedes Cardona
    gettyimages-1300319507.png

    Wichtige Punkte

    • Bei der Bedrohungsmodellierung werden potenzielle Bedrohungen für die Systeme Ihres Unternehmens identifiziert und die Möglichkeiten zu deren Abwehr bewertet.
    • Da sich Cyber-Bedrohungen ständig weiterentwickeln, bietet die Modellierung den Sicherheitsteams einen Rahmen, um proaktive Schritte zu unternehmen.
    • Hier ein Überblick über einige der zahlreichen Methoden, die zur Auswahl stehen.

     

    Die Modellierung von Cyber-Bedrohungen ist wie ein Kriegsspiel. Es handelt sich dabei um einen Prozess, bei dem methodisch potenzielle Bedrohungen für die Systeme eines Unternehmens identifiziert werden, wobei genau festgelegt wird, wie - und wie stark - ein Angreifer Schaden anrichten könnte, und dann verschiedene Verteidigungsmaßnahmen abgewogen werden.

    Die Methoden der Bedrohungsmodellierung unterscheiden sich je nach den drei Schwerpunktbereichen:

    • Systeme: Wie ist ein System aufgebaut, wie bewegen sich die Daten darin, und wo sind die Schwachstellen?
    • Gegner: Wer sind die potenziellen Angreifer, z. B. Ransomware-Ringe oder staatlich gesponserte Akteure, und auf welche Vermögenswerte würden sie abzielen?
    • Vermögenswerte: Welche Daten, finanziellen und anderen Vermögenswerte des Unternehmens könnten ins Visier genommen werden und wo liegen die Schwachstellen, die ausgenutzt werden könnten?

    Für die Modellierung von Bedrohungen wurde eine Reihe von Rahmenwerken und Methoden entwickelt, die weiter unten in diesem Artikel beschrieben werden. Eine Reihe von Technologie-Tools kann den Prozess ebenfalls unterstützen, wie z. B. Threat-Feeds - Datenstränge mit Informationen über Cyber-Angreifer, einschließlich ihrer Strategien und Fähigkeiten. Der Nachteil von Bedrohungsfeeds ist, dass sie sehr umfangreich sind, so dass die Gewinnung verwertbarer Erkenntnisse aus ihnen die Sicherheitsressourcen belasten kann. Technologiewerkzeuge wie von Mimecast können helfen, indem sie Bedrohungsdaten automatisch analysieren und in die Dashboards der Analysten integrieren, um kontextbezogene, umsetzbare, leicht zu konsumierende und aufschlussreiche Bedrohungsdaten zu liefern.

    Der Prozess der Bedrohungsmodellierung

    Das Threat Modeling Manifesto, das von einer gemeinnützigen Gruppe von Cybersicherheitsexperten verfasst wurde, empfiehlt, jede Systemanalyse mit diesen übergeordneten Fragen zu beginnen:[1]

    • Woran arbeiten wir?
    • Was kann schiefgehen?
    • Was werden wir dagegen tun?
    • Haben wir unsere Arbeit gut genug gemacht?

    Diese vier Fragen dienen als Wegweiser für einen mehrstufigen Prozess der Bedrohungsmodellierung:

    • Dekonstruieren Sie das System und legen Sie Ziele fest. Analysten müssen die Struktur der verschiedenen Systeme eines Unternehmens aufschlüsseln und herausfinden, was mit ihnen erreicht werden soll, indem sie Datenfluss- oder Prozessflussdiagramme verwenden, um die wichtigsten Ressourcen und Power-User zu visualisieren. Dieser Schritt schafft ein Verständnis dafür, woran das Unternehmen arbeitet und wie die Arbeit erledigt wird. Das bedeutet, dass die IT- oder Informationssicherheitsteams mit den Beteiligten im gesamten Unternehmen zusammenarbeiten müssen.
    • Ermittlung und Einstufung der Bedrohungen. Dies ist die Phase, in der die Bedrohungsmodellierung die Frage stellt: "Was kann schon schief gehen?" Ziel ist es, die Bedrohungen sowohl aus der Sicht des Angreifers als auch aus der Sicht des Verteidigers zu visualisieren: Welche Anlagen, Benutzer, Prozesse oder Daten würde ein Angreifer angreifen und wie? Wie hoch sind das Sicherheitsrisiko und die potenziellen Auswirkungen der einzelnen Bedrohungen?
    • Festlegung von Gegenmaßnahmen und Schadensbegrenzung. Sobald die Risiken identifiziert und eingestuft sind, können sie anhand von Faktoren wie der Auswirkung auf das Geschäft priorisiert werden, um Maßnahmen zu ergreifen, die von der Einführung technologischer Schutzmaßnahmen bis zur Verbesserung der betrieblichen Abläufe reichen können.
    • Auswerten. Dieser lehrreiche Schritt im Prozess der Bedrohungsmodellierung ist nicht weniger wichtig als die übrigen Schritte. Hier wird geprüft, wie die Organisation auf frühere Bedrohungen reagiert hat und ob und wie die Schwachstellen beseitigt wurden. Die klar dokumentierten Ergebnisse sollten an alle Beteiligten verteilt werden. Darüber hinaus muss sich die Organisation zu einer fortlaufenden Bedrohungsmodellierung verpflichten und entscheiden, wie der nächste Prozess auf der Grundlage dieser Bewertung aussehen soll und wann er stattfinden wird.

    Warum ist die Bedrohungsmodellierung wichtig?

    In einer Umgebung, in der sich die Bedrohungen ständig weiterentwickeln und die Angreifer immer raffinierter werden, bietet die Bedrohungsmodellierung Unternehmen einen Rahmen, um proaktiver zu werden.

    Bewährte Praktiken der Bedrohungsmodellierung

    • Setzen Sie Prioritäten für den Prozess. Schieben Sie die Bedrohungsmodellierung nicht einfach auf andere Projekte; es ist ein intensiver Prozess. Und gehen Sie nicht davon aus, dass die Bedrohungsmodellierung eine einmalige Übung ist, sondern machen Sie sie zu einer ständigen Praxis.
    • Nehmen Sie eine ganzheitliche Sichtweise ein. Betrachten Sie die Systeme nicht in einem Vakuum. Genauso wie Cyberkriminelle sich bei ihren Angriffen seitlich über die Systeme hinweg bewegen, müssen Verteidiger ihre Systeme in ihrer Gesamtheit betrachten, anstatt sich auf die Sicherheit einzelner Anlagen zu konzentrieren.
    • Jagen Sie nicht nach glänzenden Objekten. Die jüngste bekannte Bedrohung ist nicht unbedingt diejenige, die auf Ihr Unternehmen abzielt. Die Bedrohungen variieren je nach Branche, Funktionen und Infrastruktur des jeweiligen Unternehmens; bei der Bedrohungsmodellierung sollten diese Aspekte berücksichtigt werden.
    • Spielen Sie nicht den Helden. Übernehmen Sie nicht die gesamte Verantwortung für diese Übung. Erstellen Sie ein Dokument, das leicht mit anderen Mitgliedern der Organisation geteilt werden kann, so dass sie sich an der Arbeit des Sicherheitspersonals beteiligen und diese wiederholen können.
    • Nehmen Sie sich nicht zu viel vor. Machen Sie die Schadensbegrenzung und -behebung zu einer kontinuierlichen Aufgabe, anstatt zu versuchen, alles auf einmal zu beheben. Setzen Sie Prioritäten und berücksichtigen Sie dabei die Risiken und Kosten der verschiedenen potenziellen Bedrohungen und Abhilfemaßnahmen.

    Methoden der Bedrohungsmodellierung

    Die Wahl des richtigen Rahmens für die Bedrohungsmodellierung hängt von einer Vielzahl von Faktoren ab, u. a:

    • In welcher Branche ist das Unternehmen tätig?
    • Wie ist sie aufgebaut?
    • Wer sind die Beteiligten?
    • Wie groß ist die Risikobereitschaft des Unternehmens?
    • Was sind die potenziellen Bedrohungen?
    • Welcher Versicherungsschutz ist in Bezug auf Mitarbeiter, Geräte, Lieferanten und andere Dritte erforderlich?
    • Wie groß ist das Sicherheitsteam und wie hoch ist sein Budget?

    Zu den Rahmenwerken für die Bedrohungsmodellierung gehören:

    • STRIDE: Dieser Rahmen konzentriert sich auf sechs Hauptkategorien von Bedrohungen: Fälschung der Identität einer anderen Person, Manipulation von Daten, Ablehnung einer Aktion, Offenlegung von Informationen, Verweigerung von Diensten und Erhöhung von Berechtigungen.
    • DREAD: Hier geht STRIDE noch einen Schritt weiter und fügt diese fünf Dimensionen hinzu: Schadenspotenzial, Reproduzierbarkeit, Ausnutzbarkeit, betroffene Nutzer und Auffindbarkeit.
    • PASTA: Dieser "Prozess für Angriffssimulation und Bedrohungsanalyse" konzentriert sich auf die Bedrohungsanalyse und Angriffsmodellierung, um die Sicherheitsanforderungen mit den Unternehmenszielen in Einklang zu bringen.
    • VAST: Dieses Modell, dessen Akronym für "visual, agile and simple threat" (visuelle, agile und einfache Bedrohung) steht, ist auf Automatisierung ausgelegt und konzentriert sich auf die Integration mehrerer Teams in den Prozess.
    • NIST: Das Framework des National Institute of Standards and Technology identifiziert Daten von Interesse und Angriffsvektoren, ordnet dann die Kontrollen zur Abschwächung dieser Vektoren ein und analysiert die Gesamteffektivität.
    • OCTAVE: Diese Methodik ("operationally critical threat, asset and vulnerability evaluation") stellt unternehmensweit operative Risiken über technologische Risiken.[2]
    • Trike: Diese Open-Source-Methode hat einen eher Compliance-basierten Ansatz, der sich darauf konzentriert, welche Berechtigungen Benutzer haben, und der seine Analyse oft auf die Verletzung von Berechtigungsstufen einschränkt.

    Es gibt andere, mehr oder weniger ähnliche Rahmenwerke wie LINDDUN ("linkability, identifiability, nonrepudiation, detectability, disclosure of information, unawareness, noncompliance") und CVSS ("common vulnerability scoring system"). Die Wahl eines Unternehmens hängt von seinem Risiko, seinen Ressourcen und anderen Faktoren ab.

    Die Quintessenz

    Bedrohungsmodellierung bedeutet, sich in die Köpfe potenzieller Angreifer hineinzuversetzen, ihre Schritte zu antizipieren und eine effektivere Verteidigung zu planen. Als solches bietet es einen Rahmen für die Anwendung eines kontinuierlichen Stroms von Bedrohungsdaten zum Schutz Ihres Unternehmens. Lesen Sie weiter, um zu erfahren, wie Mimecasts Threat Feed eine wichtige Ergänzung zu den Quellen der Bedrohungsdaten eines Unternehmens sein kann.


    [1] "Threat Modeling Manifesto," Arbeitsgruppe Threat Modeling Manifesto

    [2] "SEI veröffentlicht OCTAVE FORTE Modell für Enterprise Risk Management," Carnegie Mellon University Software Engineering Institute

     

     

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang