Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
SEC01-BP07 Identifizieren Sie Bedrohungen und priorisieren Sie Abhilfemaßnahmen mithilfe eines Bedrohungsmodells
Führen Sie eine Bedrohungsmodellierung durch, um ein up-to-date Verzeichnis potenzieller Bedrohungen und der damit verbundenen Abhilfemaßnahmen für Ihren Workload zu identifizieren und zu führen. Priorisieren Sie Ihre Bedrohungen und passen Sie Ihre Sicherheitskontrollen an, um zu verhindern, zu erkennen und zu reagieren. Überarbeiten und halten Sie diese Methoden im Kontext Ihrer Workload und der sich entwickelnden Sicherheitslandschaft aktuell.
Risikostufe bei fehlender Befolgung dieser bewährten Methode: Hoch
Implementierungsleitfaden
Was versteht man unter Bedrohungsmodellierung?
„Bedrohungsmodellierung dient der Identifizierung, Kommunikation und dem Verständnis von Bedrohungen und Abhilfemaßnahmen im Kontext des Schutzes von etwas Wertvollem.“ — Bedrohungsmodellierung für Anwendungen des Open Web Application Security Project (OWASP)
Wozu dient die Bedrohungsmodellierung?
Systeme sind komplex und werden mit der Zeit immer komplexer und leistungsfähiger. Gleichzeitig liefern sie immer mehr geschäftlichen Wert und verbessern die Kundenzufriedenheit und ‑bindung. Dies bedeutet, dass Entscheidungen zum IT-Design immer mehr Anwendungsfälle berücksichtigen müssen. Diese Komplexität und die zunehmende Zahl der Anwendungsfälle macht unstrukturierte Konzepte ineffektiv, wenn es um das Erkennen und Bekämpfen von Bedrohungen geht. Stattdessen wird ein systematisches Konzept benötigt, das die potenziellen Bedrohungen für ein System aufführen und Abhilfemaßnahmen benennen und priorisieren kann, um sicherzustellen, dass die begrenzten Ressourcen einer Organisation in maximaler Weise in der Lage sind, die Sicherheitslage des Systems insgesamt zu verbessern.
Die Bedrohungsmodellierung dient zum Aufbau eines solchen systematischen Konzepts, damit Probleme frühzeitig im Designprozess erkannt und angegangen werden können, so lange Abhilfemaßnahmen noch mit niedrigen relativen Kosten und geringem Aufwand verbunden sind, was später im Lebenszyklus nicht mehr der Fall ist. Dieses Konzept entspricht dem Branchenprinzip des Shift-Left-Sicherheitsansatzes
Wann sollte eine Bedrohungsmodellierung durchgeführt werden?
Beginnen Sie mit der Bedrohungsmodellierung so früh wie möglich im Lebenszyklus Ihrer Workload. Dies gibt Ihnen die benötigte Flexibilität im Umgang mit den identifizierten Bedrohungen. Wie bei Softwarebugs gilt auch hier: Je früher Sie Bedrohungen identifizieren, desto kostengünstiger ist es, sie zu beheben. Ein Bedrohungsmodell ist ein lebendiges Dokument, dass stetig weiterentwickelt werden sollte, während sich Ihre Workloads verändern. Überprüfen Sie regelmäßig Ihre Bedrohungsmodelle, vor allem bei größeren Änderungen, bei Änderungen der Bedrohungslandschaft, oder wenn Sie neue Funktionen oder Services einführen.
Implementierungsschritte
Wie wird die Bedrohungsmodellierung durchgeführt?
Es gibt viele verschiedene Möglichkeiten zur Durchführung von Bedrohungsmodellierungen. Ähnlich wie bei Programmiersprachen gibt es Vor- und Nachteile und Sie sollten den Ansatz wählen, der für Sie am besten funktioniert. Ein Konzept besteht darin, mit Shostack’s 4 Question Frame for Threat Modeling
-
Woran arbeiten wir?
Diese Frage dient dazu, das von Ihnen aufgebaute System sowie die sicherheitsrelevanten Details zu diesem System zu verstehen. Für die Beantwortung dieser Frage ist es üblich, ein Modell oder Diagramm zur Visualisierung dessen aufzustellen, was aufgebaut wird, etwa in Gestalt eines Datenflussdiagramms
. Das Aufschreiben von Annahmen und wichtigen Details zum System hilft ebenfalls beim Verständnis des Umfangs. So können sich alle am Bedrohungsmodell beteiligten Personen auf dasselbe konzentrieren und zeitaufwändige Umwege zu bestimmten out-of-scope Themen (einschließlich veralteter Versionen Ihres Systems) vermeiden. Wenn Sie beispielsweise eine Web-Anwendung erstellen, ist es wahrscheinlich nicht relevant, sich um die Bedrohungsmodellierung im Zusammenhang mit der Bootsequenz für Browser-Clients in vertrauenswürdigen Betriebssystemen zu kümmern, da Sie darauf ohnehin keinen Einfluss haben. -
Was kann schief gehen?
Hier identifizieren Sie die Bedrohungen für Ihr System. Bedrohungen sind versehentliche oder beabsichtigte Handlungen oder Ereignisse, die unerwünschte Folgen haben und die Sicherheit Ihres Systems beeinträchtigen können. Ohne ein klares Verständnis dessen, was schief gehen kann, haben Sie keine Möglichkeit, etwas dagegen zu unternehmen.
Es gibt keine kanonische Liste dessen, was schief gehen kann. Die Erstellung dieser Liste erfordert Brainstorming und die Zusammenarbeit all Ihrer Teammitglieder und der relevanten Beteiligten
an der Bedrohungsmodellierung. Sie können Ihr Brainstorming unterstützen, indem Sie ein Modell zur Identifizierung von Bedrohungen verwenden STRIDE , das beispielsweise verschiedene Kategorien zur Bewertung vorschlägt: Spoofing, Manipulation, Ablehnung, Offenlegung von Informationen, Denial of Service und Erhöhung von Rechten. Darüber hinaus können Sie das Brainstorming unterstützen, indem Sie sich bestehende Listen und Recherchen ansehen, um sich inspirieren zu lassen, darunter die Top 10, den Bedrohungskatalog und den OWASP Bedrohungskatalog Ihres Unternehmens. HiTrust -
Wie gehen wir damit um?
Wie schon bei der vorherigen Frage gibt es auch hier keine kanonische Liste möglicher Abhilfemaßnahmen. Die Inputs für diesen Schritt sind die identifizierten Bedrohungen, Akteure und Verbesserungsbereiche aus dem vorherigen Schritt.
Sicherheit und Compliance unterliegen der geteilten Verantwortung zwischen Ihnen und AWS
. Der Frage „Wie gehen wir damit um?“ sollte unbedingt die Frage „Wer ist für die Maßnahmen verantwortlich?“ angeschlossen werden. Wenn Sie wissen, wie Ihre Zuständigkeiten ausgewogen sind, können Sie Ihre Bedrohungsmodellierung auf die Abhilfemaßnahmen ausdehnen, die Sie kontrollieren können. Dabei handelt es sich in der Regel um eine Kombination aus AWS Dienstkonfigurationsoptionen und Ihren eigenen systemspezifischen Abhilfemaßnahmen. AWS Was den AWS Teil der gemeinsamen Verantwortung angeht, werden Sie feststellen, dass die AWS Services in den Geltungsbereich vieler Compliance-Programme fallen
. Diese Programme helfen Ihnen dabei, die robusten Kontrollen zu verstehen, die AWS zur Aufrechterhaltung der Sicherheit und Compliance in der Cloud gelten. Die Prüfberichte dieser Programme stehen AWS Kunden unter zum Download zur Verfügung AWS Artifact . Unabhängig davon, welche AWS Dienste Sie nutzen, besteht immer ein gewisses Maß an Kundenverantwortung. Daher sollten Sie in Ihrem Bedrohungsmodell Maßnahmen zur Gefahrenabwehr berücksichtigen, die auf diese Aufgaben abgestimmt sind. Um die Sicherheitsvorkehrungen für die AWS Services selbst zu verringern, sollten Sie die Implementierung von Sicherheitskontrollen in allen Bereichen in Betracht ziehen, darunter Bereiche wie Identitäts- und Zugriffsmanagement (Authentifizierung und Autorisierung), Datenschutz (im Speicher und bei der Übertragung), Infrastruktursicherheit, Protokollierung und Überwachung. Die Dokumentation für jeden AWS Dienst enthält ein eigenes Sicherheitskapitel, das Anleitungen zu den Sicherheitskontrollen enthält, die als Risikominderung in Betracht gezogen werden sollten. Wichtig ist, dass Sie den Code, den Sie schreiben, und dessen Abhängigkeiten berücksichtigen und an Kontrollen denken, die Sie für den Umgang mit den damit verbundenen Bedrohungen implementieren können. Bei diesen Kontrollen könnte es sich um Dinge wie Eingabevalidierung
, Sitzungsabwicklung und Umgang mit Grenzen handeln. Oft ist der Löwenanteil der Bedrohungen mit benutzerdefiniertem Code verbunden, konzentrieren Sie sich also besonders darauf. -
Haben wir gute Arbeit geleistet?
Ihr Team und die Organisation verfolgen das Ziel, die Qualität der Bedrohungsmodelle und die Geschwindigkeit zu verbessern, mit der Sie die Bedrohungsmodellierung im Laufe der Zeit durchführen. Diese Verbesserungen werden durch eine Kombination von Praxis, Lernen, Lehren und Prüfen ermöglicht. Um dies zu vertiefen und praktisch umzusetzen, sollten Sie und Ihr Team den Trainingskurs zum Thema Korrekte Bedrohungsmodellierung für Builder
oder den dazugehörigen Workshop absolvieren. Wenn Sie außerdem nach Anleitungen suchen, wie Sie die Bedrohungsmodellierung in den Lebenszyklus der Anwendungsentwicklung Ihres Unternehmens integrieren können, finden Sie im AWS Sicherheits-Blog den Beitrag How to Approach Threat Modeling .
Threat Composer
Als Unterstützung und Anleitung bei der Erstellung von Bedrohungsmodellen sollten Sie den Einsatz des Threat Composer-Tools
-
Verfassen nützlicher, an Bedrohungsgrammatik
ausgerichtete Bedrohungsanweisungen, die in einem natürlichen, nicht-linearen Arbeitsablauf funktionieren. -
Generieren Sie ein für Menschen lesbares Bedrohungsmodell.
-
Generieren Sie ein maschinenlesbares Bedrohungsmodell, damit Sie Bedrohungsmodelle wie Code behandeln können.
-
Mit dem Insights-Dashboard können Sie schnell Bereiche identifizieren, in denen die Qualität und die Abdeckung verbessert werden müssen.
Für weitere Informationen rufen Sie Threat Composer auf und wechseln Sie zum systemdefinierten Beispielarbeitsbereich.
Ressourcen
Zugehörige bewährte Methoden:
Zugehörige Dokumente:
Zugehörige Videos:
Zugehörige Schulungen:
Zugehörige Tools:
