Proaktive Sicherheit durch Threat Modeling

Proaktive Sicherheit durch Threat Modeling TÜV Rheinland Secure iT GmbH Philippe A. R. Schaeffer Chief Security Analyst

Wegbegleiter TÜV Rheinland Secure iT Tochtergesellschaft der TÜV Rheinland Group ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Hamburg Hannover Berlin Köln Saarbrücken Stuttgart Standorte TÜV Secure iT GmbH Standorte TÜV Rheinland Group

Das Technik-Team. ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Wozu IT-Sicherheit? ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Traditioneller Ansatz Sicherheit Schaffen ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Traditioneller Ansatz Sicherheit Prüfen ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Traditioneller Ansatz - Beispiel Firewall IDS DMZ IPS Markthalle $$$$

Philosophie ,[object Object],[object Object],[object Object]

Traditioneller Application Life Cycle

Proaktive Sicherheit durch Threat Modeling Secure Software Development Lifecycle (SSDL) ,[object Object],[object Object],[object Object],[object Object],[object Object]

Beteiligung am Threat Modeling ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Vorgehensweise ,[object Object],[object Object],[object Object],[object Object]

Analyse von Software und IT-Infrastruktur Datenfluss – Ebene 1

Analyse von Software und IT-Infrastruktur Datenfluss – Ebene 2

Identifikation möglicher Angriffsziele Entry Points ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Identifikation möglicher Angriffsziele STRIDE ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],= Vortäuschen einer falschen Identität = Manipulation von Daten = Abstreitbarkeit = Preisgabe von Daten = Störung der Verfügbarkeit = Ausweiten von Berechtigungen

Identifikation möglicher Angriffsziele Exemplarische Bedrohungen ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Bewertung und Priorisierung der Schwachstellen Bedrohungen priorisieren mit DREAD ,[object Object],[object Object],[object Object],[object Object],[object Object],. . . . . . etc. 30 2 9 8 3 8 Privilege escalation 20 8 1 5 5 1 Fehlermeldungen 35 8 5 4 10 8 Sniffen FTP 50 10 10 10 10 10 SQL-Injection Summe D A E R D Bedrohung

Beispiel einer Bedrohungsanalyse nach Threat Modeling Ansatz

Vorteile ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Wie können wir Sie unterstützen? ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Philippe A. R. Schaeffer TÜV Rheinland Secure iT GmbH Chief Security Analyst Tel. +49 221 806 2485 Email [email_address] Vielen Dank für Ihre Aufmerksamkeit! Haben Sie Fragen?

Proaktive Sicherheit durch Threat Modeling

Recomendados

Recomendados

Más contenido relacionado

Destacado

Destacado (20)

Similar a Proaktive Sicherheit durch Threat Modeling

Similar a Proaktive Sicherheit durch Threat Modeling (20)

Proaktive Sicherheit durch Threat Modeling

Notas del editor