Threat modeling is een zeer effectieve manier om software en applicaties te beveiligen, maar slechts weinig organisaties doen dit ook daadwerkelijk. In de huidige computer- en beveiligingsomgeving is dreigingsmodellering echter meer dan ooit nodig.
Op de cloud gebaseerde gedistribueerde systemen en multifunctionele, flexibele softwareontwikkelingsteams hebben monolithische systemen vervangen die zijn gebouwd en beheerd door silo-teams. Gaandeweg is software veel complexer geworden - en dat geldt ook voor de bedreigingen. Bedreigingsactoren zijn van tactiek veranderd om traditionele detectiemiddelen te omzeilen. Veel aanvallen leveren bijvoorbeeld geen malware meer, maar richten zich in plaats daarvan op het in gevaar brengen van inloggegevens. En aanvallers kunnen maandenlang in bedrijfsnetwerken zitten voordat ze handelen. IBM's "Kosten van een datalekrapportโ constateerde dat het gemiddeld 287 dagen duurt voordat organisaties een datalek identificeren en beheersen.
Bedrijven erkennen de noodzaak. A Onderzoek Beveiligingskompas 2021 ontdekte dat 79% van de middelgrote en grote ondernemingen bedreigingsmodellering als een prioriteit beschouwt, maar dat slechts 25% modellering uitvoert tijdens de vroege ontwerpfasen. En slechts 10% voert dreigingsmodellering uit op 90% van de applicaties die ze ontwikkelen.
Als branche moeten we bedreigingsmodellering tot een standaardpraktijk maken in softwareontwikkeling, geรฏntroduceerd op een manier waar zowel ontwikkelings- als beveiligingsteams mee kunnen werken, en geรฏmplementeerd op een manier die positieve resultaten en verbetering in de loop van de tijd laat zien. En het begint allemaal met een woord dat je misschien niet vaak hoort in IT-operaties en beveiligingskringen: empathie.
Een culturele verandering
Er zijn een aantal redenen voor de discrepantie tussen het zien van de waarde van het modelleren van bedreigingen en het daadwerkelijk doen ervan, waaronder een gebrek aan communicatie tussen beveiligings- en ontwikkelingsteams, en de neiging om het modelleren van bedreigingen op te geven als de eerste inspanningen verwarrend worden en niet werken. de gewenste resultaten opleveren.
Te vaak beschouwen beveiligingsteams het toepassen van beveiligingscontroles als eenrichtingsverkeer tussen hen en ontwikkelingsteams, als simpelweg een kwestie van ontwikkelaars vertellen wat ze moeten doen. Maar dat begint op het verkeerde been. Organisaties moeten erkennen dat elk team over vaardigheden beschikt waar de ander van kan leren. Als je een beveiligingsprofessional in de ontwikkelaarsruimte zet, zijn ze immers verloren.
Het veranderen van deze mentaliteit vereist een culturele verschuiving, en het begint met het zien van empathie als een waardevoorstel. De menselijke kant hiervan moet naar voren komen, meer mensen betrekken bij het verrijken van onze kennis. Beveiligingsteams moeten waardeer de omgeving waarin ontwikkelaars werken, onder druk om snel software te ontwikkelen en te leveren. Dev-teams kunnen beveiligingsteams helpen kaders zoals containers te begrijpen en toegang te controleren, kennis die kan worden toegepast op beveiligingsbeleid.
Wanneer teams heen en weer samenwerken, leren ze van elkaar. Het zal tijd kosten om op dat punt te komen. Het kan beginnen met vergaderingen of een procesintegratie, misschien een beetje vallen en opstaan, en uiteindelijk overgaan in toolintegratie. Wanneer ze het volwassenheidsniveau bereiken waarop iedereen een basiskennis heeft van elkaars domeinen, kunnen ze overstappen naar meer geavanceerde niveaus van dreigingsmodellering, zoals het modelleren van kennisbanken en het maken van grafieken van concepten die samen in kaart worden gebracht.
Maar het heeft een stabiel proces nodig, anders wordt het duur en chaotisch, met rommelige mensenproblemen tot gevolg.
3 stappen naar betere dreigingsmodellering
Er zijn drie belangrijke elementen voor het creรซren van een sfeer van samenwerking.
Coaching: Dit helpt ontwikkelaars het belang van bedreigingsmodellering te begrijpen. Het kan beginnen met het onboarden van nieuwe medewerkers. Ongeacht hun achtergrond en certificeringen, ga er niet vanuit dat ze weten hoe er in uw bedrijf met beveiliging wordt omgegaan. Zorg ervoor dat ze de cultuur begrijpen.
Samenwerking: Een cultuur van samenwerken en collaboratie begint bij het leiderschap van een bedrijf, waarbij een CISO de houding heeft om de teams te willen dienen. Het kan enige tijd duren, maar het moet worden gemodelleerd op leiderschapsniveau.
Integratie: De elementen van samenwerking komen samen bij het werken aan integraties, wat een continu proces is. Het doel is niet perfectie, maar om in de loop van de tijd te verbeteren en te evolueren.
Een sleutel om deze aanpak te laten werken is metrics toepassen, met name door naar uitkomsten te kijken, zoals "kwetsbaarheden verminderen" - in plaats van te proberen de details van hoe individuen werken te beoordelen. Uitkomsten zijn geen ontwikkelaar of beveiliging, het is ieders ding.
Ik heb in mijn ervaring ontdekt dat het nuttig is om duidelijke plannen voor 30, 60 en 90 dagen te hebben, waarin het verwachte resultaat in elke fase wordt beschreven. De plannen moeten incrementele groei laten zien en in samenwerking worden uitgevoerd. Als deze resultaten moeten worden gemeten, anders drijf je doelloos rond.
Empathie is de sleutel
Als beveiligingsgemeenschap is het onze verantwoordelijkheid om ontwikkelaars helpen bij het omarmen van dreigingsmodellering. Het is niet wij tegen zij. We moeten ze laten nadenken over beveiliging en het modelleren van dreigingen, als onderdeel van een geรฏntegreerde aanpak die in de loop van de tijd evolueert.
Empathie als managementtechniek kan helpen om die omgeving te creรซren. Sommige mensen denken misschien dat empathie geen verantwoordelijkheid inhoudt - dat het op de een of andere manier zwak is om iemands positie en gedachten te begrijpen - maar het levert eigenlijk het tegenovergestelde resultaat op. Het ontwikkelt de samenwerking die we zo hard nodig hebben.
