Wie es funktioniert

Bei der Bedrohungsmodellierung durch Code nutzt du ein Programm (Code), um Informationen zu analysieren, die in einem maschinenlesbaren Format ( ) erstellt wurden und ein Systemmodell, seine Komponenten und Daten über diese Komponenten beschreiben. Das Programm interpretiert das eingegebene Systemmodell und die Daten und verwendet eine Taxonomie von Bedrohungen und Schwachstellen sowie Erkennungskriterien, um (a) potenzielle Funde zu identifizieren und (b) Ergebnisse zu produzieren, die von einem Menschen interpretiert werden können. In der Regel ist die Ausgabe ein Textdokument oder ein Bericht im PDF-Format.

Wie es funktioniert

Ein Benutzer schreibt ein Programm in einer Programmiersprache, um eine Darstellung eines Systems und seiner Komponenten sowie Informationen über diese Komponenten zu erstellen. Dieses Programm beschreibt die Informationen über das System in Form von Code und gibt die Bedingungen für die Durchführung der Analyse vor. Der daraus resultierende Prozess verwendet eine Reihe von APIs (Funktionen), um die Bedrohungsanalyse für den modellierten Systemzustand und die Eigenschaften durchzuführen. Wenn der "Quellcode" kompiliert und ausgeführt wird (oder interpretiert, je nach den Besonderheiten der verwendeten Sprache), liefert das resultierende Programm Erkenntnisse über Sicherheitsbedrohungen, die auf den Eigenschaften und Einschränkungen des modellierten Systems basieren.

Das Konzept, Modelle zu erstellen, ohne sie auf ein Whiteboard zu zeichnen, gibt es mindestens seit 1976, als A. Wayne Wymore, damals Professor an der University of Arizona, Systems Engineering Methodology for Interdisciplinary Teams (Wiley) veröffentlichte. Dieses und andere Bücher, die folgten, legten den Grundstein für den technischen Bereich, der als modellbasierte Systemtechnik (MBSE) bekannt ist. Die Lektionen, die die Industrie aus MBSE gelernt hat, haben die in Kapitel 1 erwähnten Konstrukte zur Systemmodellierung und die Sprachen zur Beschreibung von Systemen für die rechnerische Analyse beeinflusst, die wir kurz besprechen werden.⁸

Architekturbeschreibungssprachen (ADLs) beschreiben Darstellungen von Systemen. Mit den ADLs verwandt sind die Systementwurfssprachen (SDLs). Innerhalb der ADLs gibt es zwei verwandte Sprachen, die es ermöglichen, Systemmodelle zu erstellen und zu analysieren, um Sicherheitsbedrohungen zu erkennen:⁹

• Architecture Analysis & Design Language, oder AADL

• Die Beschreibungssprache Acme für die komponentenbasierte Systemmodellierung

Die Systemtechnik verwendet AADL, das größer und aussagekräftiger ist, wenn Systemmodelle von eingebetteten und Echtzeitsystemen erstellt. Dies gilt vor allem für die Bereiche Avionik und Automobilsysteme, die funktionale Sicherheit erfordern - die Eigenschaft, die Gesundheit und das Leben von Menschen zu schützen, wenn es um das Systemverhalten geht. ACME ist weniger ausdrucksstark und daher besser geeignet für Systeme, die weniger komplex sind oder eine geringere Größe haben (definiert durch die Anzahl der Komponenten und Interaktionen). ACME ist außerdem eine frei verfügbare Sprachspezifikation, während für AADL eine kostenpflichtige Lizenz erforderlich ist, obwohl es kostenloses Schulungsmaterial gibt, mit dem du dich mit der Sprache vertraut machen kannst.¹⁰

Diese Sprachen stellen einfache Konzepte vor, die System- und Softwareentwickler/innen auch heute noch verwenden. Vielleicht bemerkst du Ähnlichkeiten zu den Konzepten, die wir in Kapitel 1 beschrieben haben:

Komponenten

Funktionseinheiten wie Prozesse oder Datenspeicher darstellen

Verbinder

Aufbau von Beziehungen und Kommunikationswegen zwischen den Komponenten

Systeme

spezifische Konfigurationen von Komponenten und Anschlüssen darstellen

Häfen

Interaktionspunkte zwischen Komponenten und Anschlüssen

Rollen

Nützliche Einblicke in die Funktion der Elemente innerhalb des Systems zu geben

Eigenschaften, oder Anmerkungen

Informationen zu jedem Konstrukt bereitstellen, die für die Analyse oder Dokumentation verwendet werden können

Element:
  contains      
  exposes       
  calls         
  is_type:      
    - cloud.saas
    - cloud.iaas
    - cloud.paas
    - mobile.ios
    - mobile.android
    - software
    - firmware.embedded
    - firmware.kernel_mod
    - firmware.driver
    - firmware
    - hardware
    - operating_system
    - operating_system.windows.10
    - operating_system.linux
    - operating_system.linux.fedora.23
    - operating_system.rtos
  is_containerized                  
  deploys_to:
    - windows
    - linux
    - mac_os_x
    - aws_ec2
  provides
    - protection                    
    - protection.signed
    - protection.encrypted
    - protection.signed.cross       
    - protection.obfuscated
  packaged_as:                      
    - source
    - binary
    - binary.msi
    - archive
  source_language:                  
    - c
    - cpp
    - python
  uses.technology:                  
    - cryptography
    - cryptography.aes128
    - identity
    - identity.oauth
    - secure_boot
    - attestation
  requires:                         
    - assurance
    - assurance.privacy
    - assurance.safety
    - assurance.thread_safety
    - assurance.fail_safe
    - privileges.root
    - privileges.guest              
  metadata:                         
    - name
    - label
    - namespace
    - created_by
    - ref.source.source             
    - ref.source.acquisition        
    - source_type.internal          
    - source_type.open_source
    - source_type.commercial
    - source_type.commercial.vendor
    - description                   

Port:
  requires:                 
    - security              
    - security.firewall     
  provides:                 
    - confidentiality
    - integrity
    - qos
    - qos.delivery_receipt
  protocol:                 
    - I2C
    - DTLS
    - ipv6
    - btle                  
    - NFS                   
  data:                     
    - incoming              
    - outbound              
    - service_name          
    - port                  
  metadata:                 
    - name
    - label
    - description           

Data:
  encoding:
    - json
    - protobuf
    - ascii
    - utf8
    - utf16
    - base64
    - yaml
    - xml
  provides:
    - protection.signed
    - protection.signed.xmldsig
    - protection.encrypted
  requires:
    - security
    - availability
    - privacy
    - integrity
  is_type:                      
    - personal
    - personal.identifiable     
    - personal.health           
    - protected
    - protected.credit_info     
    - voice
    - video
    - security
  metadata:                     
    - name
    - label
    - description               

Analyse von Diagrammen und Metadaten

Betrachten wir einen Moment lang das einfache Beispiel in Abbildung 4-2.

Abbildung 4-2. Einfaches Client/Server-Systemmodell

Diese Anmerkungen begleiten das Systemdiagramm in Abbildung 4-2:

• Der Client ist in C geschrieben und ruft den Server auf Port 8080 an, um den Benutzer des Clients zu authentifizieren.

• Der Server prüft eine interne Datenbank, und wenn die vom Kunden gesendeten Informationen mit den Erwartungen übereinstimmen, sendet der Server ein Autorisierungs-Token an den Kunden zurück.

Setze deinen Sicherheits-Hut auf (siehe Einleitung, wenn du dich über Authentifizierung und andere Schwachstellen informieren willst) und identifiziere die Sicherheitsprobleme in diesem einfachen Systemmodell.²⁰ Denk darüber nach, wie du zu diesem Ergebnis gekommen bist. Du hast dir (wahrscheinlich) das Systemmodell angesehen, die Informationen in Form von Anmerkungen betrachtet und potenzielle Bedrohungen ermittelt. Du hast eine Musteranalyse mit einer Datenbank von Bedrohungsinformationen durchgeführt, die in deinem Gedächtnis gespeichert ist. Das ist eine der Herausforderungen der Skalierbarkeit - es gibt nicht genug "Speicher" und "Rechenleistung" für alle.

Diese Musteranalyse und Extrapolation ist für das menschliche Gehirn leicht zu bewerkstelligen. Mit dem richtigen Wissen kann unser Gehirn leicht Muster erkennen und Hochrechnungen anstellen. Wir haben sogar ein Unterbewusstsein, das uns ein "Bauchgefühl" für unsere Analyse gibt. Wir stellen Verbindungen zu und zwischen Dingen her, die zufällig und mehrdeutig erscheinen. Wir verarbeiten nicht einmal alle Schritte, die unser Gehirn bei der Arbeit macht; unsere Gedanken "passieren einfach". Im Gegensatz zu unserem Gehirn können Computer Dinge schnell erledigen, aber sie müssen sich über jeden Schritt und jeden Prozess bewusst sein, der notwendig ist. Computer können keine Schlüsse ziehen oder Vermutungen anstellen. Was für uns selbstverständlich ist, muss also für Computer programmiert werden.

Wie würde also ein Computerprogramm dieses Szenario analysieren?

Zuerst musst du einen Rahmen für die Analyse entwickeln. Dieser Rahmen muss in der Lage sein, Eingaben (vom Modell) zu akzeptieren und Muster zu analysieren, Schlüsse zu ziehen, Verbindungen herzustellen und gelegentlich zu raten, um ein Ergebnis zu erzielen, das Menschen als sinnvoll interpretieren können. Bist du schon bereit für die KI?

Eigentlich ist es keine große Herausforderung, und das schon seit geraumer Zeit nicht mehr. Der grundlegende Ansatz ist einfach:

1. Erstelle ein Format, um eine Systemdarstellung mit Informationen zu beschreiben, z.B. mit einer ADL.

2. Erstelle ein Programm, das die Informationen des Systemmodells interpretiert.

3. Erweitere das Programm, um eine Analyse auf der Grundlage einer Reihe von Regeln durchzuführen, die die Informationsmuster im Systemmodell bestimmen.

Schauen wir uns also noch einmal das einfache Beispiel in Abbildung 4-3 an.

Abbildung 4-3. Einfaches Client/Server-Systemmodell - neu betrachtet

Nun wollen wir unsere idealisierte Beschreibungssprache vom Anfang des Kapitels verwenden, um die Informationen im Systemmodell zu beschreiben. Um jedes Objekt im Systemmodell eindeutig zu referenzieren, verwenden wir einen Platzhalter für jedes Objekt und verbinden Eigenschaften mit diesem Bezeichner:

# Describe 'Node1' (the client)
Node1.name: client
Node1.is_type: software
Node1.source_language: c
Node1.packaged_type: binary

# Describe 'Node2' (the server)
Node2.name: server
Node2.is_type: software

# Describe 'Node3' (an exposed port)
Node3.is_type: port
Node3.port: 8080
Node3.protocol: http

# Establish the relationships
Node2.exposes.port: Node3
Node1.connects_to: Node3

# Describe the data that will be passed on the channel
Data1.is_type: credential
Data1.requires: [confidentiality, integrity, privacy]
Data1.metadata.description: "Data contains a credential to be checked by
the server"

Data2.is_type: credential
Data2.requires: [confidentiality, integrity]
Data2.metadata.description: "Data contains a session token that gives/
 authorization to perform actions"

Node3.data.incoming = Data1
Node3.data.outbound = Data2

In dem vorangegangenen Beispiel (das wir uns komplett ausgedacht und nur zum Zweck der Erklärung erstellt haben), fallen dir vielleicht ein oder zwei Dinge auf, die dir Sorgen bereiten. Dein menschliches Gehirn ist in der Lage, Rückschlüsse auf die Bedeutung der Eigenschaften zu ziehen und darauf, wie das System aussehen könnte. In Kapitel 3 hast du gelernt, wie du einige der Schwachstellen in einem Beispielsystem ermitteln kannst.

Aber wie soll ein Computerprogramm diese Aufgabe erfüllen? Es muss dazu programmiert werden - es braucht eine Reihe von Regeln und Strukturen, um Informationen zusammenzufügen und die für die Analyse notwendigen Ergebnisse zu erzielen.

Um Regeln zu erstellen, muss man sich die verfügbaren Quellen für Bedrohungen ansehen und die "Indikatoren" identifizieren, die auf eine mögliche Bedrohung hinweisen. Die CWE Architectural Concepts Liste oder CAPEC Mechanisms of Attack sind hervorragende Quellen, die duberücksichtigen solltest.

Hinweis

Du hast vielleicht bemerkt, dass wir im gesamten Buch mehrfach auf die Datenbanken CWE und CAPEC verweisen. Wir nutzen diese Datenbanken besonders gerne als zentrale Ressourcen, weil sie offen und öffentlich sind und viele verwertbare und anwendbare Informationen enthalten, die von Experten aus der gesamten Sicherheitsgemeinschaft beigetragen wurden.

Für unsere Demonstration schauen wir uns zwei mögliche Quellen für eine Regel an:

• CWE-319: Klartextübermittlung von sensiblen Informationen

• CAPEC-157: Sniffing-Angriffe

CWE-319 sagt uns, dass die Schwachstelle auftritt, wenn "die Software sensible oder sicherheitskritische Daten im Klartext über einen Kommunikationskanal überträgt, der von Unbefugten abgehört werden kann". Anhand dieser einfachen Beschreibung solltest du in der Lage sein, die Indikatoren zu erkennen, die vorhanden sein müssen, damit eine potenzielle Bedrohung in einem System besteht:

• Ein Prozess: Dieser führt eine Aktion aus.

• "Sendet": Die Softwareeinheit kommuniziert mit einer anderen Komponente.

• "Sensible oder sicherheitskritische Daten": Daten, die für einen Angreifer wertvoll sind.

• Ohne Verschlüsselung: Auf dem Kanal oder zum direkten Schutz der Datenpakete (eine dieser Bedingungen muss gegeben sein).

• Auswirkungen: Vertraulichkeit.

CAPEC-157 beschreibt einen Angriff auf sensible Informationen wie folgt: "Bei diesem Angriffsmuster fängt der Angreifer Informationen ab, die zwischen zwei dritten Parteien übertragen werden. Der Angreifer muss in der Lage sein, den Kommunikationsverkehr zu beobachten, zu lesen und/oder zu hören, aber nicht unbedingt die Kommunikation zu blockieren oder ihren Inhalt zu verändern. Theoretisch kann jedes Übertragungsmedium abgehört werden, wenn der Angreifer den Inhalt zwischen Sender und Empfänger untersuchen kann." Aus dieser Beschreibung geht hervor, wie ein Angreifer diesen Angriff durchführen kann:

• Der Verkehr zwischen zwei Parteien (Endpunkten) wird abgefangen.

• Der Angriff ist passiv; es wird keine Veränderung oder Denial-of-Service erwartet.

• Der Angreifer (Akteur) benötigt Zugriff auf den Kommunikationskanal.

Mit diesen beiden Beschreibungen können wir also die folgenden einheitlichen Regeln (im Text) in Betracht ziehen:

• Der Quell-Endpunkt kommuniziert mit dem Ziel-Endpunkt.

• Der Datenfluss zwischen den Endpunkten enthält sensible Daten.

• Der Datenfluss ist nicht für die Vertraulichkeit geschützt.

Die Auswirkungen dieser Bedingungen in einem System würden es einem böswilligen Akteur ermöglichen, sensible Daten durch Sniffing zu erhalten.

Der Code zur Erkennung dieses Musters und zur Anzeige des Vorhandenseins einer Bedrohung könnte wie folgt aussehen (in Pseudocode, ohne alle Sicherheitsüberprüfungen):

def evaluate(node n, "Threat from CWE-319"):
    if n.is_type is "software":
        for i in range(0, len(n.exposes)):
            return (n.exposes[i].p.data.incoming[0].requires.security)
            and
            (n.exposes[i].p.provides.confidentiality)

Dies ist ein extrem vereinfachtes Beispiel dafür, was ein Tool oder eine Automatisierung leisten könnte. Sicherlich gibt es effizientere Algorithmen für diesen Musterabgleich, aber ich hoffe, dieses Beispiel gibt dir eine Vorstellung davon, wie die Bedrohungsmodellierung Code zur automatischen Erkennung von Bedrohungen nutzt.

Während die Bedrohungsmodellierung mit Code ein ziemlich toller Trick ist, macht die Bedrohungsmodellierung mit Code die Technologie potenziell leichter zugänglich. Anstatt Code zur Verwaltung von Bedrohungsinformationen zu verwenden oder ein Programm zur Analyse einer textuellen Beschreibung eines Modells "mit Code" einzusetzen, um Konstrukte mit Regeln zur Bestimmung von Bedrohungen abzugleichen, wird ein Programm geschrieben, das bei der Ausführung die Analyse und Darstellung der Bedrohungsmodelle "automatisch" durchführt.

Damit dies möglich ist, muss ein Programmautor Programmlogik und APIs erstellen, um Elemente, Datenflüsse usw. und die Regeln, nach denen sie analysiert werden, zu beschreiben. Die Entwickler nutzen dann die APIs, um ausführbare Programme zu erstellen. Die Ausführung des Programmcodes (mit oder ohne Vorkompilierung, abhängig von der Sprachwahl für die APIs) führt zu diesen grundlegenden Schritten:

1. Übersetze die Direktiven, die Objekte beschreiben, um eine Darstellung des Systems zu erstellen (z. B. einen Graphen, ein Array von Eigenschaften oder eine andere programminterne Darstellung).

2. Lade eine Reihe von Regeln.

3. Gehe den Graphen der Objekte durch, indem du den Musterabgleich mit dem Regelwerk durchführst, um die Ergebnisse zu ermitteln.

4. Erzeuge Ergebnisse auf der Grundlage von Templates für die Erstellung eines Diagramms, das (hoffentlich) für Menschen visuell akzeptabel ist, und für die Ausgabe von Details der Ergebnisse.

Das Schreiben von Code zur automatischen Generierung von Bedrohungsinformationen bietet einige Vorteile:

• Als Programmierer bist du es bereits gewohnt, Code zu schreiben, also bietet dir das die Möglichkeit, etwas zu deinen Bedingungen zu tun.

• Die Modellierung von Bedrohungen als Code fügt sich nahtlos in die "Everything as Code"- oder DevOps-Philosophie ein.

• Du kannst den Code einchecken und unter Revisionskontrolle halten, und zwar mit Tools, an die du als Entwickler/in bereits gewöhnt bist, was sowohl die Übernahme als auch die Verwaltung der Informationen erleichtern sollte.

• Wenn die APIs und Bibliotheken, die das Wissen und die Erfahrung von Sicherheitsexperten enthalten, die Möglichkeit bieten, Regeln für die Analyse dynamisch zu laden, kann ein und dasselbe Programm mehrere Domänen bedienen. Ein Programm kann ein zuvor im Code beschriebenes System neu analysieren, wenn neue Forschungsergebnisse oder Bedrohungsdaten neue Bedrohungen aufdecken, sodass es immer auf dem neuesten Stand ist, ohne dass das Modell geändert oder die Arbeit wiederholt werden muss.

Diese Methode hat aber auch ein paar Nachteile, die du beachten solltest:

• Entwickler wie du schreiben bereits jeden Tag Code, um einen Mehrwert für dein Unternehmen oder deine Kunden zu schaffen. Zusätzlichen Code zu schreiben, um deine Architektur zu dokumentieren, mag wie eine zusätzliche Belastung erscheinen.

• Bei der Vielzahl an Programmiersprachen, die es heutzutage gibt, kann es eine Herausforderung sein, unter ein Codepaket zu finden, das eine Sprache verwendet, die dein Entwicklungsteam nutzt (oder deren Integration unterstützt).

• Der Schwerpunkt liegt nach wie vor auf den Entwicklern, die als Hüter des Codes Konzepte wie objektorientierte Programmierung und Funktionen (und Aufrufkonventionen usw.) verstehen müssen.

Diese Herausforderungen sind nicht unüberwindbar, aber der Bereich der Bedrohungsmodellierung aus Code ist noch unausgereift. Das beste Beispiel für ein Codemodul und eine API für die Bedrohungsmodellierung aus dem Code ist pytm.

Hinweis

Haftungsausschluss: Wir sind wirklich, wirklich, wirklich voreingenommen gegenüber pytm, als Ersteller/Leiter des Open-Source-Projekts. Wir wollen in diesem Buch allen großartigen Innovationen auf dem Gebiet der Automatisierung von Bedrohungsmodellen gerecht werden. Aber wir sind wirklich der Meinung, dass pytm eine Lücke in den Methoden geschlossen hat, die Sicherheitspraktikern und Entwicklungsteams zur Verfügung stehen, um die Bedrohungsmodellierung für sie praktikabel und effektiv zu machen.

pytm

Einer der Hauptgründe, warum wir dieses Buch geschrieben haben, war der aufrichtige Wunsch, dass Personen, die mit der Entwicklung zu tun haben, sofort zugängliche Informationen erhalten, die ihnen helfen, ihre Sicherheitsfähigkeiten im Lebenszyklus der sicheren Softwareentwicklung weiterzuentwickeln. Deshalb sprechen wir über Schulungen, die Herausforderung, "wie ein Hacker zu denken", Angriffsbäume und Bedrohungsbibliotheken, Regelmaschinen und Diagramme.

Als erfahrene Sicherheitspraktiker haben wir schon viele Argumente von Entwicklungsteams gegen den Einsatz von Bedrohungsmodellierungswerkzeugen gehört: "Es ist zu schwer!", "Es ist nicht plattformunabhängig; ich arbeite mit X, und das Tool funktioniert nur mit Y!", "Ich habe keine Zeit, eine weitere Anwendung zu lernen, und für diese muss ich eine ganz neue Syntax lernen!" Abgesehen von den vielen Ausrufezeichen besteht ein gemeinsames Muster in diesen Erklärungen darin, dass der/die Programmierer/in aufgefordert wird, aus seiner/ihrer unmittelbaren Komfortzone herauszutreten und eine weitere Fähigkeit zu seinem/ihrem Werkzeugkasten hinzuzufügen oder einen vertrauten Arbeitsablauf zu unterbrechen und einen fremden Prozess hinzuzufügen. Wir dachten uns also, was wäre, wenn wir stattdessen versuchen würden, den Prozess der Bedrohungsmodellierung an einen Prozess anzunähern, der den Programmierer/innen bereits vertraut ist?

Ähnlich wie bei der kontinuierlichen Bedrohungsmodellierung (die wir in Kapitel 5 ausführlich beschreiben) hilft der Rückgriff auf Tools und Prozesse, die dem Entwicklungsteam bereits bekannt sind, dabei, Gemeinsamkeit und Vertrauen in den Prozess zu schaffen. Ihr seid bereits mit ihnen vertraut und nutzt sie täglich.

Dann haben wir uns die Automatisierung angesehen. Welche Bereiche der Bedrohungsmodellierung stellten für das Entwicklungsteam die größten Herausforderungen dar? Die üblichen Verdächtigen meldeten sich zu Wort: Bedrohungen identifizieren, Diagramme und Anmerkungen erstellen und das Bedrohungsmodell (und damit auch das Systemmodell) mit minimalem Aufwand aktuell halten. Wir sprachen über Beschreibungssprachen, aber sie fielen in die Kategorie "noch eine Sache, die das Team lernen muss", und ihre Anwendung fühlte sich im Entwicklungsprozess schwer an, während die Teams versuchten, ihn zu vereinfachen. Wie könnten wir dem Entwicklungsteam helfen, sein Ziel (Effizienz/Zuverlässigkeit) zu erreichen und gleichzeitig unser Ziel der Sicherheitsbildung zu verwirklichen?

Dann kam uns der Gedanke: Warum nicht ein System als Sammlung von Objekten objektorientiert beschreiben, und zwar mit einer allgemein bekannten, leicht zugänglichen und vorhandenen Programmiersprache, und daraus Diagramme und Bedrohungen erstellen? Füge Python hinzu, und schon hast du es: eine Python-Bibliothek für die Bedrohungsmodellierung.

Erhältlich unter https://oreil.ly/nuPja (und unter https://oreil.ly/wH-Nl als OWASP Incubator Projekt), hat pytm im ersten Jahr seines Bestehens das Interesse vieler Mitglieder der Threat Modeling Community geweckt. Die interne Anwendung in unseren und anderen Unternehmen, Vorträge und Workshops von Jonathan Marcil auf beliebten Sicherheitskonferenzen wie OWASP Global AppSec DC und Diskussionen auf dem Open Security Summit und sogar die Verwendung durch Trail of Bits in seinem Kubernetes-Bedrohungsmodell zeigen, dass wir uns in die richtige Richtung bewegen!

Hier ist eine Beispielsystembeschreibung mit pytm:

#!/usr/bin/env python3   


from pytm.pytm import TM, Server, Datastore, Dataflow, Boundary, Actor, Lambda  


tm = TM("my test tm")  
tm.description = "This is a sample threat model of a very simple system - a /
web-based comment system. The user enters comments and these are added to a /
database and displayed back to the user. The thought is that it is, though /
simple, a complete enough example to express meaningful threats."

User_Web = Boundary("User/Web")   
Web_DB = Boundary("Web/DB")

user = Actor("User")   
user.inBoundary = User_Web   

web = Server("Web Server")
web.OS = "CloudOS"
web.isHardened = True   

db = Datastore("SQL Database (*)")
db.OS = "CentOS"
db.isHardened = False
db.inBoundary = Web_DB
db.isSql = True
db.inScope = False

my_lambda = Lambda("cleanDBevery6hours")
my_lambda.hasAccessControl = True
my_lambda.inBoundary = Web_DB

my_lambda_to_db = Dataflow(my_lambda, db, "(λ)Periodically cleans DB")  
my_lambda_to_db.protocol = "SQL"
my_lambda_to_db.dstPort = 3306

user_to_web = Dataflow(user, web, "User enters comments (*)")
user_to_web.protocol = "HTTP"
user_to_web.dstPort = 80
user_to_web.data = 'Comments in HTML or Markdown'
user_to_web.order = 1   

web_to_user = Dataflow(web, user, "Comments saved (*)")
web_to_user.protocol = "HTTP"
web_to_user.data = 'Ack of saving or error message, in JSON'
web_to_user.order = 2

web_to_db = Dataflow(web, db, "Insert query with comments")
web_to_db.protocol = "MySQL"
web_to_db.dstPort = 3306
web_to_db.data = 'MySQL insert statement, all literals'
web_to_db.order = 3

db_to_web = Dataflow(db, web, "Comments contents")
db_to_web.protocol = "MySQL"
db_to_web.data = 'Results of insert op'
db_to_web.order = 4

tm.process()   

pytm ist eine Python 3 Bibliothek. Es ist keine Python 2 Version verfügbar.

In pytm dreht sich alles um Elemente. Spezifische Elemente sind Process, Server, Datastore, Lambda, (Trust) Boundary und Actor. Das Objekt TM enthält alle Metadaten über das Bedrohungsmodell sowie die Rechenleistung. Importiere nur das, was dein Bedrohungsmodell verwenden wird, oder erweitere Element um deine eigenen spezifischen Elemente (und teile sie dann mit uns!)

Wir instanziieren ein TM Objekt, das unsere gesamte Modellbeschreibung enthalten wird.

Hier legen wir eine Vertrauensgrenze fest, die wir verwenden werden, um verschiedene Vertrauensbereiche des Modells zu trennen.

Wir instanziieren auch einen generischen Akteur, der den Nutzer des Systems repräsentiert.

Und wir haben es sofort auf die richtige Seite einer Vertrauensgrenze gestellt.

Jedes spezifische Element hat Attribute, die die Bedrohungen beeinflussen, die erzeugt werden können. Alle haben gemeinsame Standardwerte, und wir müssen nur die ändern, die für das System einzigartig sind.

Das Element Dataflow verbindet zwei zuvor definierte Elemente und enthält Details über die fließenden Informationen, das verwendete Protokoll und die verwendeten Kommunikationsports.

Neben dem üblichen DFD kann pytm auch Sequenzdiagramme erstellen. Durch das Hinzufügen eines .order Attributs zu Dataflow ist es möglich, sie so zu organisieren, dass sie in diesem Format Sinn machen.

Nachdem wir alle unsere Elemente und ihre Attribute deklariert haben, führt ein Aufruf von TM.process() die in der Befehlszeile geforderten Operationen aus.

Neben der zeilenweisen Analyse können wir aus diesem Code lernen, dass jedes Bedrohungsmodell ein eigenes Skript ist. Auf diese Weise können bei einem großen Projekt die pytm-Skripte klein gehalten und mit dem Code, den sie repräsentieren, zusammengelegt werden, so dass sie leichter aktualisiert und versioniert werden können. Wenn sich ein bestimmter Teil des Systems ändert, muss nur dieses spezielle Bedrohungsmodell bearbeitet und geändert werden. Dadurch wird der Aufwand auf die Beschreibung der Änderung konzentriert und Fehler werden vermieden, die bei der Bearbeitung eines großen Teils des Codes auftreten können.

Durch den Aufruf von process() hat jedes pytm-Skript den gleichen Satz an Befehlszeilenschaltern und Argumenten:

tm.py [-h] [--debug] [--dfd] [--report REPORT] [--exclude EXCLUDE] [--seq] /
[--lis] [--describe DESCRIBE]

optional arguments:
  -h, --help           show this help message and exit
  --debug              print debug messages
  --dfd                output DFD (default)
  --report REPORT      output report using the named template file /
(sample template file is under docs/template.md)
  --exclude EXCLUDE    specify threat IDs to be ignored
  --seq                output sequential diagram
  --list               list all available threats
  --describe DESCRIBE  describe the properties available for a given element

Besonders erwähnenswert sind --dfd und --seq: Sie erzeugen die Diagramme im PNG-Format. Das DFD wird von pytm im Dot-Format erstellt, einem Format, das von Graphviz genutzt wird, und das Sequenzdiagramm von PlantUML. hat auch Multiplattform-Unterstützung. Die Zwischenformate sind textuell, sodass du Änderungen vornehmen kannst, und das Layout wird von den jeweiligen Tools und nicht von pytm bestimmt. Auf diese Weise kann sich jedes Tool auf das konzentrieren, was es am besten kann.²¹

Siehe Abbildungen 4-4 und 4-5.

Abbildung 4-4. DFD-Darstellung des Beispielcodes

Abbildung 4-5. Derselbe Code, jetzt als Sequenzdiagramm dargestellt

Die Möglichkeit, Diagramme mit der Geschwindigkeit von Code zu erstellen, hat sich als nützliche Eigenschaft von pytm erwiesen. Wir haben erlebt, dass während der ersten Design-Meetings Code notiert wurde, um das System zu beschreiben. pytm ermöglicht es den Teammitgliedern, eine Threat Modeling-Sitzung mit einer funktionalen Darstellung ihrer Idee zu verlassen, die den gleichen Wert hat wie eine Zeichnung auf einem Whiteboard, aber sofort geteilt, bearbeitet und gemeinsam bearbeitet werden kann. Dieser Ansatz vermeidet alle Fallstricke von Whiteboards ("Hat jemand die Marker gesehen? Nein, die schwarzen Marker!", "Kannst du die Kamera ein bisschen bewegen? Sarah ist dafür zuständig, die Zeichnung in eine Visio-Datei zu verwandeln. Moment, wer ist Sarah?", und die gefürchteten "Nicht löschen"-Schilder).

All das ist zwar wertvoll, aber ein Tool zur Bedrohungsmodellierung ist ziemlich unzureichend, wenn es nicht, nun ja, Bedrohungen aufzeigt. pytm verfügt über diese Fähigkeit, wenn auch mit einem Vorbehalt: In diesem Stadium der Entwicklung geht es uns mehr darum, erste Fähigkeiten zu identifizieren, als die Bedrohungen vollständig zu erfassen. Das Projekt begann mit einer Untergruppe von Bedrohungen, die in etwa den Fähigkeiten des in diesem Kapitel beschriebenen Microsoft Threat Modeling Tools entspricht, und fügte einige lambda-bezogene Bedrohungen hinzu. Derzeit erkennt pytm mehr als 100 erkennbare Bedrohungen, die auf einer Teilmenge von CAPEC basieren. Einige der Bedrohungen, die pytm erkennen kann, siehst du hier (und alle Bedrohungen können mit dem Schalter --list aufgelistet werden):

INP01 - Buffer Overflow via Environment Variables
INP02 - Overflow Buffers
INP03 - Server Side Include (SSI) Injection
CR01 - Session Sidejacking
INP04 - HTTP Request Splitting
CR02 - Cross Site Tracing
INP05 - Command Line Execution through SQL Injection
INP06 - SQL Injection through SOAP Parameter Tampering
SC01 - JSON Hijacking (aka JavaScript Hijacking)
LB01 - API Manipulation
AA01 - Authentication Abuse/ByPass
DS01 - Excavation
DE01 - Interception
DE02 - Double Encoding
API01 - Exploit Test APIs
AC01 - Privilege Abuse
INP07 - Buffer Manipulation
AC02 - Shared Data Manipulation
DO01 - Flooding
HA01 - Path Traversal
AC03 - Subverting Environment Variable Values
DO02 - Excessive Allocation
DS02 - Try All Common Switches
INP08 - Format String Injection
INP09 - LDAP Injection
INP10 - Parameter Injection
INP11 - Relative Path Traversal
INP12 - Client-side Injection-induced Buffer Overflow
AC04 - XML Schema Poisoning
DO03 - XML Ping of the Death
AC05 - Content Spoofing
INP13 - Command Delimiters
INP14 - Input Data Manipulation
DE03 - Sniffing Attacks
CR03 - Dictionary-based Password Attack
API02 - Exploit Script-Based APIs
HA02 - White Box Reverse Engineering
DS03 - Footprinting
AC06 - Using Malicious Files
HA03 - Web Application Fingerprinting
SC02 - XSS Targeting Non-Script Elements
AC07 - Exploiting Incorrectly Configured Access Control Security Levels
INP15 - IMAP/SMTP Command Injection
HA04 - Reverse Engineering
SC03 - Embedding Scripts within Scripts
INP16 - PHP Remote File Inclusion
AA02 - Principal Spoof
CR04 - Session Credential Falsification through Forging
DO04 - XML Entity Expansion
DS04 - XSS Targeting Error Pages
SC04 - XSS Using Alternate Syntax
CR05 - Encryption Brute Forcing
AC08 - Manipulate Registry Information
DS05 - Lifting Sensitive Data Embedded in Cache

Wie bereits erwähnt, wird das Format, das pytm zur Definition von Bedrohungen verwendet, derzeit überarbeitet ( ), um eine bessere Regel-Engine zu entwickeln und mehr Informationen bereitzustellen. Derzeit definiert pytm eine Bedrohung als JSON-Struktur mit folgendem Format:

{
   "SID":"INP01",
   "target": ["Lambda","Process"],
   "description": "Buffer Overflow via Environment Variables",
   "details": "This attack pattern involves causing a buffer overflow through/
 manipulation of environment variables. Once the attacker finds that they can/
 modify an environment variable, they may try to overflow associated buffers./
 This attack leverages implicit trust often placed in environment variables.",
   "Likelihood Of Attack": "High",
   "severity": "High",
   "condition": "target.usesEnvironmentVariables is True and target.sanitizesInp
ut is False and target.checksInputBounds is False",
   "prerequisites": "The application uses environment variables.An environment/
 variable exposed to the user is vulnerable to a buffer overflow.The vulnerable/
 environment variable uses untrusted data.Tainted data used in the environment/
 variables is not properly validated. For instance boundary checking is not /
done before copying the input data to a buffer.",
   "mitigations": "Do not expose environment variables to the user.Do not use /
untrusted data in your environment variables. Use a language or compiler that /
performs automatic bounds checking. There are tools such as Sharefuzz [R.10.3]/
 which is an environment variable fuzzer for Unix that support loading a shared/
 library. You can use Sharefuzz to determine if you are exposing an environment/
 variable  vulnerable to buffer overflow.",
   "example": "Attack Example: Buffer Overflow in $HOME A buffer overflow in
   sccw allows local users to gain root access via the $HOME
   environmental variable. Attack Example: Buffer Overflow in TERM A
   buffer overflow in the rlogin program involves its consumption of
   the TERM environment variable.",
   "references": "https://capec.mitre.org/data/definitions/10.html, CVE-1999-090
6, CVE-1999-0046, http://cwe.mitre.org/data/definitions/120.html, http://cwe.mit
re.org/data/definitions/119.html, http://cwe.mitre.org/data/definitions/680.html
"
 },

Das Zielfeld beschreibt entweder ein einzelnes oder ein Tupel von möglichen Elementen, auf die die Bedrohung wirkt. Das Bedingungsfeld ist ein boolescher Ausdruck, der auf der Grundlage der Werte der Attribute des Zielelements als Wahr (die Bedrohung existiert) oder Falsch (die Bedrohung existiert nicht) ausgewertet wird.

Um die anfänglichen Möglichkeiten zu vervollständigen, haben wir eine auf Templates basierende Berichtsfunktion hinzugefügt.²² Der Templating-Mechanismus ist zwar einfach und knapp gehalten, reicht aber aus, um einen brauchbaren Bericht zu erstellen. Er ermöglicht die Erstellung von Berichten in jedem beliebigen textbasierten Format, einschließlich HTML, Markdown, RTF und einfachem Text. Wir haben uns für Markdown entschieden:

# Threat Model Sample
***

## System Description
{tm.description}

## Dataflow Diagram
![Level 0 DFD](dfd.png)

## Dataflows
Name|From|To |Data|Protocol|Port
----|----|---|----|--------|----
{dataflows:repeat:{{item.name}}|{{item.source.name}}|{{item.sink.name}}/
|{{item.data}}|{{item.protocol}}|{{item.dstPort}}
}

## Potential Threats
{findings:repeat:* {{item.description}} on element "{{item.target}}"
}

Diese Vorlage, die auf das vorangegangene Skript angewendet wird, würde den Bericht erzeugen, den du in Anhang A siehst.

Wir gehen fest davon aus, dass wir in naher Zukunft weitere Funktionen entwickeln werden, um die Einstiegshürde für Entwicklerteams in die Bedrohungsmodellierung zu senken und gleichzeitig nützliche Ergebnisse zu liefern.

Threagile

Threagile von Christian Schneider ist ein vielversprechendes System, das erst seit Juli 2020 im Bereich der Bedrohungsmodellierung als Code verfügbar ist. Es befindet sich derzeit im Stealth-Modus, wird aber bald als Open Source verfügbar sein!

Ähnlich wie pytm fällt Threagile in die Kategorie der Bedrohungsmodellierung mit Code, verwendet aber eine YAML-Datei, um das System zu beschreiben, das es auswertet. Ein Entwicklungsteam kann die Werkzeuge verwenden, die die Teammitglieder bereits kennen, und zwar in ihrer nativen IDE, und die zusammen mit dem Code des Systems, das es darstellt, gepflegt, versionskontrolliert, geteilt und gemeinsam bearbeitet werden können. Das Tool ist in Go geschrieben.

Da sich das Tool zum Zeitpunkt dieses Artikels noch in der Entwicklung befindet, empfehlen wir dir, die Website des Threagile-Autors zu besuchen, um Beispiele für dieerstellten Berichte und Diagramme zu sehen.

Die wichtigsten Elemente der YAML-Datei, die das Zielsystem beschreibt, sind die Datenbestände, die technischen Bestände, die Kommunikationsverbindungen und die Vertrauensgrenzen. Eine Definition von Datenbeständen sieht zum Beispiel so aus:

Customer Addresses:
	id: customer-addresses
	description: Customer Addresses
	usage: business
	origin: Customer
            owner: Example Company
            quantity: many
            confidentiality: confidential
	integrity: mission-critical
	availability: mission-critical
	justification_cia_rating: these have PII of customers and the system /
needs these addresses for sending invoices

Derzeit ist die Definition von Datenbeständen der Hauptunterschied im Ansatz zwischen Threagile und pytm, da die Definitionen von technischen Beständen (in pytm Elemente wie Server, Process, etc.), Vertrauensgrenzen und Kommunikationsverbindungen (pytm Datenflüsse) mehr oder weniger dem gleichen Umfang an Informationen über jedes spezifische Element im System folgen.

Die Unterschiede sind insofern deutlicher, als dass Threagile verschiedene Arten von Vertrauensgrenzen wie Network On Prem, Network Cloud-Provider und Network Cloud Security Group (neben vielen anderen) explizit berücksichtigt, während pytm nicht differenziert. Jeder Typ erfordert eine andere Semantik, die bei der Bewertung von Bedrohungen eine Rolle spielt.

Threagile verfügt über ein Plug-in-System zur Unterstützung von Regeln, die den Graphen des durch die YAML-Eingabe beschriebenen Systems analysieren. Zum Zeitpunkt der Erstellung dieses Artikels werden etwa 35 Regeln unterstützt, aber es werden noch weitere hinzugefügt. Eine zufällige Auswahl von Beispielregeln zeigt Folgendes:

• Cross-Site-Request-Fgery

• code-backdooring

• ldap-injection

• ungeschützter-zugriff-aus-dem-internet

• service-registry-poisoning

• unnötige-daten-übertragung

Anders als pytm, das als Kommandozeilenprogramm arbeitet, bietet Threagile auch eine REST-API, die (verschlüsselte) Modelle speichert und es dir ermöglicht, sie zu bearbeiten und auszuführen. Das Threagile-System verwaltet die Eingabe-YAML in einem Repository zusammen mit dem Code, den die YAML beschreibt. Das System kann entweder über die CLI oder die API angewiesen werden, die Verarbeitung durchzuführen. Die Ausgabe von Threagile besteht aus Folgendem:

• Ein Risikobericht PDF

• Ein Excel-Tabellenblatt zur Risikoverfolgung

• Eine Risikozusammenfassung mit Risikodetails als JSON

• Ein automatisch erstelltes DFD (mit Farbgebung, die die Klassifizierung von Assets, Daten und Kommunikationsverbindungen ausdrückt)

• Ein Risikodiagramm für Datenbestände

Das letzte Diagramm ist von besonderem Interesse, da es für jedes Datengut angibt, wo es verarbeitet und wo es gespeichert wird, wobei die Farbe den Risikostatus pro Datengut und technischem Gut ausdrückt. Soweit wir wissen, ist dies derzeit das einzige Tool, das diese Ansicht bietet.

Das Format des generierten PDF-Berichts ist äußerst detailliert und enthält alle Informationen, die notwendig sind, um die Risiken an das Management weiterzuleiten oder die Entwickler in die Lage zu versetzen, sie zu mindern. Die STRIDE-Klassifizierung der identifizierten Bedrohungen ist ebenso enthalten wie eine Analyse der Auswirkungen der Risiken pro Kategorie.

Wir freuen uns darauf, mehr von diesem Tool zu sehen und an seiner Entwicklung teilzuhaben. Wir empfehlen dir, einen Blick darauf zu werfen, sobald es für die Öffentlichkeit zugänglich ist.

IriusRisk

Umgesetzte Methoden: Fragebogenbasiert, Bedrohungsbibliothek

Hauptargument: Die Free/Community-Edition von IriusRisk (siehe Abbildung 4-6) bietet dieselbe Funktionalität wie die Enterprise-Version, allerdings mit einer Einschränkung bei den Berichtsarten und den Elementen, die in ihrem Menü zur Aufnahme in das System angeboten werden. Die kostenlose Version enthält auch keine API, aber sie reicht aus, um die Fähigkeiten des Tools zu zeigen. Abbildung 4-6 zeigt ein Beispiel für die Analyseergebnisse von IriusRisk am Beispiel eines einfachen Browser/Server-Systems. Die Bedrohungsbibliothek von IriusRisk scheint zumindest auf CAPEC zu basieren, denn es werden auch CWE, das Web Application Security Consortium (WASC), die OWASP Top Ten sowie der OWASP Application Security Verification Standard (ASVS) und der OWASP Mobile Application Security Verification Standard (MASVS) erwähnt.

Frische: Ständig aktualisiert

Beziehen von: https://oreil.ly/TzjrQ

Abbildung 4-6. IriusRisk Echtzeit-Analyseergebnisse

Ein typischer Befund in einem IriusRisk-Bericht enthält die Komponente, in der er festgestellt wurde, die Art der Schwachstelle ("Zugriff auf sensible Daten"), eine kurze Erklärung der Bedrohung ("Sensible Daten werden durch Angriffe auf SSL/TLS kompromittiert") und eine grafische/farbliche Darstellung des Risikos und des Fortschritts der Gegenmaßnahmen.

Wenn du eine bestimmte Bedrohung genauer untersuchst, siehst du eine eindeutige ID (mit CAPEC- oder anderen Indexinformationen), eine Aufteilung der Auswirkungen in Vertraulichkeit, Integrität und Verfügbarkeit, eine längere Beschreibung und eine Liste von Referenzen, zugehörigen Schwachstellen und Gegenmaßnahmen, die den Leser darüber informieren, wie er das identifizierte Problem angehen kann.

SD-Elemente

Umgesetzte Methoden: Fragebogenbasiert, Bedrohungsbibliothek

Hauptargument: Zum Zeitpunkt der Erstellung dieses Artikels in Version 5 ist SD Elements eine umfassende Sicherheitsmanagementlösung für dein Unternehmen. Eine der Funktionen, die sie bietet, ist die fragebogenbasierte Bedrohungsmodellierung. Anhand einer vordefinierten Sicherheits- und Compliance-Richtlinie versucht die Anwendung, die Konformität des in der Entwicklung befindlichen Systems mit dieser Richtlinie zu überprüfen, indem sie Gegenmaßnahmen vorschlägt.

Frische: Regelmäßig aktualisiertes kommerzielles Angebot

Beziehen von: https://oreil.ly/On7q2

ThreatModeler

Umgesetzte Methoden: Prozessablaufdiagramme; Visuelle, agile, einfache Bedrohung (VAST); Bedrohungsbibliothek

Hauptargument: ThreatModeler ist eines der ersten kommerziell erhältlichen Diagramm- und Analysetools zur Bedrohungsmodellierung. ThreatModeler verwendet Prozessablaufdiagramme (die wir in Kapitel 1 kurz erwähnt haben) und implementiert den VAST-Modellierungsansatz für die Bedrohungsmodellierung.

Frische: Kommerzielles Angebot

Beziehen von: https://threatmodeler.com

OWASP Threat Dragon

Umgesetzte Methoden: Regelbasierte Bedrohungsbibliothek, STRIDE

Hauptaussage: Threat Dragon ist ein Projekt, das kürzlich den Inkubatorstatus bei OWASP verlassen hat. Es ist eine Online- und Desktop-Anwendung (Windows, Linux und Mac) zur Modellierung von Bedrohungen, die eine Diagrammlösung (Drag & Drop) und eine regelbasierte Analyse der definierten Elemente mit Vorschlägen für Bedrohungen und Abhilfemaßnahmen bietet. Dieses plattformübergreifende, kostenlose Tool ist benutzbar und erweiterbar (siehe Abbildung 4-7).

Frische: In aktiver Entwicklung, geleitet von Mike Goodwin und Jon Gadsden

Beziehen von: https://oreil.ly/-n5uF

Abbildung 4-7. Ein Beispielsystem, verfügbar als Demonstration

In Abbildung 4-7 siehst du, dass die DFD von der im Buch vorgestellten einfachen Symbolik entspricht; jedes Element hat ein Eigenschaftsblatt, das Details und Kontext zu ihm liefert. Das Element wird im Kontext des gesamten Systems dargestellt, und es sind grundlegende Informationen darüber verfügbar, ob es in den Geltungsbereich des Bedrohungsmodells fällt, was es enthält und wie es gespeichert oder verarbeitet wird.

Die Benutzer können auch ihre eigenen Bedrohungen erstellen, was eine Organisation oder ein Team in die Lage versetzt, die Bedrohungen hervorzuheben, die für ihre Umgebung oder die Funktionsweise ihres Systems besonders wichtig sind. Es besteht ein direkter Zusammenhang zwischen der STRIDE-Bedrohungserfassung und einer einfachen Einstufung der Kritikalität (hoch/mittel/niedrig) ohne direkte Korrelation zu einem CVSS-Score.

Threat Dragon bietet eine umfassende Berichtsfunktion, die das Systemdiagramm im Blick behält und eine nach Elementen sortierte Liste aller Feststellungen (mit ihren Abhilfemaßnahmen, falls vorhanden) oder den Grund dafür liefert, wenn ein bestimmtes Element zwar Teil des Diagramms ist, aber für das Bedrohungsmodell nicht in Frage kommt.

Microsoft Threat Modeling Tool

Umgesetzte Methoden: Zeichnen und annotieren, STRIDE

Hauptvorschlag: Das Microsoft Threat Modeling Tool ist ein weiterer wichtiger Beitrag von Adam Shostack und dem SDL-Team auf . Es ist eines der ersten Tools zur Bedrohungsmodellierung, das auf den Markt gekommen ist. Ursprünglich basierte es auf einer Visio-Bibliothek (und erforderte daher eine Lizenz für dieses Programm), doch diese Abhängigkeit wurde inzwischen aufgegeben und das Tool ist nun eine eigenständige Installation. Nach der Installation hast du die Möglichkeit, ein neues Modell oder eine Vorlage hinzuzufügen oder bestehende Vorlagen zu laden. Die Vorlage ist standardmäßig auf Azure ausgerichtet, für Systeme, die nicht Azure-spezifisch sind, gibt es eine generische SDL Vorlage. Microsoft unterstützt auch eine Bibliothek von Templates, die zwar noch nicht sehr umfangreich ist, aber sicherlich einen willkommenen Beitrag zur Landschaft darstellt. Das Tool verwendet eine Annäherung an die DFD-Symbolik, die wir in Kapitel 1 verwendet haben, und bietet Werkzeuge, mit denen du jedes Element mit vordefinierten und benutzerdefinierten Attributen versehen kannst. Auf der Grundlage von vordefinierten Regeln (die in einer XML-Datei gespeichert sind und theoretisch vom Benutzer bearbeitet werden können) erstellt das Tool einen Bedrohungsmodellbericht, der das Diagramm, die identifizierten Bedrohungen (klassifiziert nach STRIDE) und einige Empfehlungen zur Schadensbegrenzung enthält. Obwohl die Elemente und ihre Attribute stark auf Windows ausgerichtet sind, ist das Tool auch für Nicht-Windows-Benutzer interessant (siehe Abbildung 4-8).

Frische: Scheint alle paar Jahre aktualisiert zu werden.

Beziehen von: https://oreil.ly/YL-gI

Ähnlich wie in anderen Tools kann jedes Element bearbeitet werden, um seine Eigenschaften anzugeben. Der Hauptunterschied besteht darin, dass einige Elementeigenschaften sehr Windows-bezogen sind. So enthält das Element OS Process Eigenschaften wie Running As (Ausführen als), mit Administrator als möglichem Wert, oder Code Type (Codetyp): Verwaltet. Wenn das Programm Bedrohungen generiert, ignoriert es Optionen, die auf die Zielumgebung nicht anwendbar sind.

Die Berichterstattung in diesem Tool ist eng mit STRIDE verknüpft, wobei jede Feststellung eine STRIDE-Kategorie hat, zusätzlich zu einer Beschreibung, einer Begründung, einem Zustand der Abschwächung und einerPriorität.

Abbildung 4-8. DFD für das mit dem Tool gelieferte Beispiel-Demosystem

CAIRIS

Umgesetzte Methoden: Asset- und bedrohungsorientiertes Sicherheitsdesign

Hauptaussage: CAIRIS, die Abkürzung für Computer Aided Integration of Requirements and Information Security, wurde von Shamal Faily entwickelt und ist eine Plattform zur Erstellung von Darstellungen sicherer Systeme mit Schwerpunkt auf der Risikoanalyse, die auf Anforderungen und Benutzerfreundlichkeit basiert. Sobald du eine Umgebung definiert hast (d.h. einen Container, in dem das System existiert - eine Kapselung von Vermögenswerten, Aufgaben, Personas und Angreifern, Zielen, Schwachstellen und Bedrohungen), kannst du die Inhalte der Umgebung festlegen. Personas definieren Benutzer, und Aufgaben beschreiben, wie Personas mit dem System interagieren. Personas haben auch Rollen, die Stakeholder, Angreifer, Datenkontrolleure, Datenverarbeiter und Datensubjekte sein können. Personas interagieren mit Assets, die Eigenschaften wie Sicherheit und Datenschutz (wie CIA), Rechenschaftspflicht, Anonymität und Unbeobachtbarkeit haben, die mit Keine, Niedrig, Mittel und Hoch bewertet werden. Aufgaben modellieren die Arbeit, die eine oder mehrere Personas auf dem System in umgebungsspezifischen Vignetten ausführen. CAIRIS ist in der Lage, UML DFDs mit der üblichen Symbolik sowie textuelle Darstellungen eines Systems zu erstellen. Das System ist komplex, und unsere Beschreibung wird ihm niemals gerecht werden, aber im Laufe unserer Recherche hat uns CAIRIS so fasziniert, dass wir es weiter erforschen wollten. Das Buch , in dem das Tool und seine Einsatzmöglichkeiten näher erläutert werden und das einen kompletten Kurs über Security by Design bietet, ist Designing Usable and Secure Software with IRIS and CAIRIS von Shamal Faily (Springer).

Frische: In aktiver Entwicklung

Beziehen von: https://oreil.ly/BfW2l

Mozilla Meeresschwamm

Umgesetzte Methoden: Visuell gesteuert, keine Bedrohungserhebung

Hauptargument: Mozilla SeaSponge ist ein webbasiertes Tool, das auf jedem relativ modernen Browser funktioniert und eine saubere, gut aussehende Benutzeroberfläche bietet, die auch eine intuitive Erfahrung fördert. Derzeit bietet es weder eine Regelmaschine noch eine Berichtsfunktion und die Entwicklung scheint 2015 eingestellt worden zu sein (siehe Abbildung 4-9).

Frische: Die Entwicklung scheint zu stagnieren.

Beziehen von: https://oreil.ly/IOlh8

Abbildung 4-9. Mozilla SeaSponge Benutzeroberfläche

Tutamen Threat Model Automator

Umgesetzte Methoden: Visuell gesteuert, STRIDE und Bedrohungsbibliotheken

Hauptangebot: Tutamen Threat Model Automator ist ein kommerzielles Software-as-a-Service (SaaS)-Angebot (ab Oktober 2019 in der kostenlosen Beta-Version) mit einem interessanten Ansatz: Du lädst ein Diagramm deines Systems im draw.io- oder Visio-Format oder eine Excel-Tabelle hoch und erhältst dein Bedrohungsmodell. Du musst deine Daten mit sicherheitsrelevanten Metadaten, Vertrauensbereichen und Berechtigungen versehen, die du den Elementen zuweisen möchtest. Der erstellte Bericht identifiziert die Elemente, die Datenflüsse und die Bedrohungen und schlägt Abhilfemaßnahmen vor.

Frische: Regelmäßig aktualisiertes kommerzielles Angebot

Beziehen von: http://www.tutamantic.com