Nieuwe ontwikkeling gebeurt de hele tijd bij drukke softwarebedrijven. Maar gebeurt er ook veilig ontwikkelen?
Een proces dat Lite Threat Modeling (LTM) wordt genoemd, betrekt belanghebbenden bij veilige ontwikkeling en zorgt ervoor dat beveiliging is ingebakken en niet vastgeschroefd. Wat is LTM en hoe verschilt het van traditionele dreigingsmodellering?
De Lite Threat Modeling-benadering
LTM is een gestroomlijnde aanpak om potentiรซle beveiligingsbedreigingen en kwetsbaarheden in een systeem of applicatie te identificeren, beoordelen en beperken. Het is een vereenvoudigde versie van traditionele dreigingsmodellering, wat doorgaans een uitgebreidere en gedetailleerdere analyse van beveiligingsrisico's inhoudt.
Met LTM steken we niet handmatig pinnen in het systeem of de app om te zien of het kapot gaat, zoals bij pentesten. In plaats daarvan boren we "theoretische gaten" in de applicatie, waardoor mogelijke aanvalsroutes en kwetsbaarheden worden blootgelegd.
Hier zijn enkele vragen die u kunt overwegen:
- Wie zou onze systemen willen aanvallen?
- Welke onderdelen van het systeem kunnen worden aangevallen, en hoe?
- Wat is het ergste dat kan gebeuren als iemand inbreekt?
- Welke negatieve impact zou dit hebben op ons bedrijf? Op onze klanten?
Wanneer worden LTM's uitgevoerd?
Het is het beste om een โโLTM uit te voeren wanneer er een nieuwe functie wordt uitgebracht, een beveiligingscontrole wordt gewijzigd of er wijzigingen worden aangebracht in de bestaande systeemarchitectuur of infrastructuur.
Idealiter worden LTM's uitgevoerd na de ontwerpfase en vaardigheden implementatie. Het is immers veel, veel gemakkelijker om een โโkwetsbaarheid op te lossen voordat deze in productie wordt genomen. Om LTM's binnen uw organisatie te schalen, moet u ervoor zorgen dat u duidelijke en consistente processen en normen vaststelt. Dit kan het definiรซren van een gemeenschappelijke reeks dreigingscategorieรซn inhouden, het identificeren van gemeenschappelijke bronnen van dreigingen en kwetsbaarheden, en het ontwikkelen van standaardprocedures voor het beoordelen en beperken van risico's.
Hoe LTM's in uw organisatie uit te voeren
Om te beginnen met het uitvoeren van LTM's binnen uw eigen organisatie, laat u eerst uw interne beveiligingsteams uw LTM-gesprekken leiden. Naarmate uw technische teams meer vertrouwd raken met het proces, kunnen ze beginnen met het uitvoeren van hun eigen dreigingsmodellen.
Om LTM's binnen uw organisatie te schalen, moet u ervoor zorgen dat u duidelijke en consistente processen en normen vaststelt. Dit kan het definiรซren van een gemeenschappelijke reeks dreigingscategorieรซn inhouden, het identificeren van gemeenschappelijke bronnen van dreigingen en kwetsbaarheden, en het ontwikkelen van standaardprocedures voor het beoordelen en beperken van risico's.
Veelvoorkomende LTM-fouten die u moet vermijden
Beveiligingsmensen zijn goed in het modelleren van bedreigingen: ze verwachten vaak het ergste en zijn vindingrijk genoeg om randgevallen te bedenken. Maar deze eigenschappen zorgen er ook voor dat ze in LTM-valkuilen trappen, zoals:
- Te veel focussen op uitschieters. Dit gebeurt tijdens een LTM-oefening wanneer de focus van het gesprek afwijkt van de meest realistische bedreigingen voor de uitschieters. Om dit op te lossen, moet u uw ecosysteem grondig begrijpen. Gebruik informatie uit uw SIEM (Security Information and Event Management) en andere beveiligingsbewakingssystemen. Als u bijvoorbeeld 10,000 aanvallen heeft die uw API-eindpunten (Application Programming Interface) raken, weet u dat uw tegenstanders daarop gefocust zijn. Dit is waar uw LTM ook op gericht moet zijn.
- Wordt te technisch. Zodra een theoretische kwetsbaarheid is ontdekt, springen technische mensen vaak in de 'probleemoplossende modus'. Ze 'lossen' uiteindelijk het probleem op en praten over technische implementatie in plaats van over de impact die kwetsbaarheid heeft op de organisatie. Als je merkt dat dit tijdens je LTM-oefeningen gebeurt, probeer dan het gesprek terug te trekken: vertel het team dat je nog niet over implementatie gaat praten. Praat via de risico en impact kopen.
- Ervan uitgaande dat alleen tools risico's afhandelen. Ontwikkelaars verwachten vaak dat hun tools alle problemen vinden. De realiteit is immers dat een dreigingsmodel niet bedoeld is om een โโspecifieke kwetsbaarheid te vinden. Het is eerder bedoeld om te kijken naar het algehele risico van het systeem, op architectonisch niveau. Onveilig ontwerp was zelfs een van OWASP's meest recente Top 10 beveiligingsrisico's voor webapplicaties. U hebt dreigingsmodellen nodig op architectonisch niveau, omdat architecturale beveiligingsproblemen het moeilijkst op te lossen zijn.
- Potentiรซle bedreigingen en kwetsbaarheden over het hoofd zien. Bedreigingsmodellering is geen eenmalige exercitie. Het is belangrijk om potentiรซle bedreigingen en kwetsbaarheden regelmatig opnieuw te beoordelen om steeds veranderende aanvalsvectoren en bedreigingsactoren voor te blijven.
- Niet beoordelen van implementatiestrategieรซn op hoog niveau. Zodra potentiรซle bedreigingen en kwetsbaarheden zijn geรฏdentificeerd, is het belangrijk om effectieve tegenmaatregelen te implementeren om deze te beperken of te elimineren. Dit kan het implementeren van technische controles omvatten, zoals invoervalidatie, toegangscontrole of codering, maar ook niet-technische controles, zoals training van werknemers of administratief beleid.
Conclusie
LTM is een gestroomlijnde aanpak voor het identificeren, beoordelen en beperken van potentiรซle beveiligingsbedreigingen en kwetsbaarheden. Het is uiterst ontwikkelaarsvriendelijk en het zorgt ervoor dat veilige code voorbijkomt vroeg dreigingsmodellering doen in de levenscyclus van softwareontwikkeling (SDLC). Sterker nog, een LTM kan door softwareontwikkelaars en architecten zelf worden gedaan, in plaats van te vertrouwen op laboratoria om dreigingsmodellering uit te voeren.
Door LTM's op een consistente en effectieve manier te ontwikkelen en te implementeren, kunnen organisaties snel en effectief de meest kritieke beveiligingsrisico's identificeren en aanpakken, terwijl veelvoorkomende valkuilen en fouten worden vermeden.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
- Bron: https://www.darkreading.com/vulnerabilities-threats/fast-track-secure-development-using-lite-threat-modeling
- 000
- 10
- 7
- a
- Over
- toegang
- over
- adres
- administratief
- Na
- vooruit
- Alles
- alleen
- analyse
- en
- api
- gebruiken
- Aanvraag
- applicatiebeveiliging
- nadering
- bouwkundig
- architectuur
- aanvallen
- Aanvallen
- het vermijden van
- terug
- omdat
- vaardigheden
- BEST
- Betere
- breaks
- Kapot gegaan
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- gevallen
- categorieรซn
- Wijzigingen
- duidelijk
- code
- Gemeen
- Bedrijven
- afstand
- componenten
- uitgebreid
- Overwegen
- consequent
- onder controle te houden
- controles
- Gesprek
- conversaties
- kon
- kritisch
- Klanten
- het definiรซren van
- Design
- gedetailleerd
- ontwikkelaars
- het ontwikkelen van
- Ontwikkeling
- verschillen
- moeilijk
- ontdekt
- gedurende
- gemakkelijker
- ecosysteem
- rand
- effectief
- effectief
- elimineren
- Werknemer
- encryptie
- Engineering
- genoeg
- zorgen
- oprichten
- Event
- steeds veranderend
- voorbeeld
- Oefening
- bestaand
- verwachten
- uiterst
- Vallen
- vertrouwd
- Kenmerk
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- Voornaam*
- Bepalen
- Focus
- gericht
- oppompen van
- krijgen
- gaan
- groot
- handvat
- gebeuren
- gebeurt
- high-level
- raken
- Gaten
- Hoe
- HTTPS
- geรฏdentificeerd
- identificeren
- het identificeren van
- Impact
- uitvoeren
- uitvoering
- uitvoering
- belangrijk
- in
- omvatten
- informatie
- Infrastructuur
- invoer
- verkrijgen in plaats daarvan
- Interface
- intern
- betrekken
- problemen
- IT
- springen
- blijven
- Labs
- leiden
- Niveau
- Life
- Kijk
- gemaakt
- management
- manier
- handmatig
- fouten
- Verzachten
- verzachtende
- risico's beperken
- Mode
- model
- modellen
- Grensverkeer
- meer
- meest
- bewegend
- Noodzaak
- negatief
- New
- EEN
- gekant tegen
- organisatie
- organisaties
- Overige
- Ons Bedrijf
- totaal
- het te bezitten.
- Mensen
- Uitvoeren
- uitvoerend
- fase
- pijnboom
- Plato
- Plato gegevensintelligentie
- PlatoData
- Por
- beleidsmaatregelen door te lezen.
- mogelijk
- potentieel
- probleem
- probleemoplossing
- problemen
- procedures
- processen
- productie
- Programming
- kwaliteiten
- Contact
- snel
- RE
- realistisch
- Realiteit
- recent
- regelmatig
- uitgebracht
- herzien
- Risico
- risico's
- lopen
- Scale
- beveiligen
- veiligheid
- veiligheidsrisico's
- Beveiligingsbedreigingen
- reeks
- moet
- vereenvoudigd
- Software
- Software ontwikkelaars
- software development
- OPLOSSEN
- Het oplossen van
- sommige
- Iemand
- bronnen
- specifiek
- stakeholders
- standaard
- normen
- begin
- blijven
- plakken
- Still
- strategieรซn
- gestroomlijnd
- dergelijk
- system
- Systems
- Talk
- praat
- team
- teams
- Technisch
- Testen
- De
- hun
- zich
- theoretisch
- ding
- grondig
- bedreiging
- bedreigingsactoren
- bedreigingen
- Door
- niet de tijd of
- naar
- ook
- tools
- traditioneel
- Trainingen
- vallen
- typisch
- begrijpen
- .
- bevestiging
- versie
- kwetsbaarheden
- kwetsbaarheid
- web
- web applicatie
- Wat
- Wat is
- welke
- en
- binnen
- Slechtst
- zou
- You
- Your
- zephyrnet
