Threat Modeling Basics

Egal ob ein historisch gewachsener Monolith oder die neueste Anwendung mit MACH-Architektur: Alle Anwendungen sind individuellen, für sie spezifischen Bedrohungen ausgesetzt. Das bedeutet, dass es keine Standardquelle oder Referenzliste geben kann, die dem Team relevante Bedrohungsszenarien beschreibt. Stattdessen muss sich das Team auf zwei unterschiedlichen Ebenen mit der eigenen Sicherheitslage auseinandersetzen: Auf der konzeptuellen Ebene erkannte Bedrohungen betreffen die Architektur und das Design der Anwendung, während Bedrohungen auf der Implementierungsebene im Code entstehen.

Threat Modeling beschreibt einen regelmäßigen Vorgang, um Bedrohungen auf konzeptueller Ebene zu identifizieren und Hinweise für solche auf Implementierungsebene zu sammeln.

In diesem Seminar geht es um verschiedene Methoden des Threat Modelings. Es werden Klassiker wie Microsofts STRIDE-Ansatz neben weniger bekannten Methoden wie PASTA und Attack Trees evaluiert. Die wesentlichen Merkmale werden anhand einer typischen Beispielanwendung veranschaulicht, die sich an den im Berateralltag regelmäßig vorgefundenen Architekturen orientiert. Dabei werden Erfahrungen bezüglich Zero-Trust- oder Serverless-Architekturen weitergegeben und mit on-premises Trust-Boundary-Szenarien verglichen.

Neben den Methoden werden auch Erfahrungen mit einschlägigen Threat Modeling Tools wie beispielsweise OWASP Threat Dragon und Microsoft Threat Modeling Tool vorgestellt. Es werden Ratschläge zur Integration von Threat Modeling in Entwicklungsprozesse gegeben.

Lernziele

Nach dem Seminar können die Teilnehmer

  • ein Basis-Threat- Model einer ihnen vertrauten Anwendung erstellen und
  • den Wert und die Grenzen von Threat Models einschätzen.

Zielgruppe

  • Entscheider
  • Projektleiter
  • Architekten
  • Softwareentwickler
  • Sicherheitsbeauftragte

Dauer

2 Stunden bis einen Tag

Voraussetzungen

keine

Trainer

Dr. Bastian Braun
Sicherheitsberater in vielen Softwareprojekten
Björn Kirschner
Erfahrener Penetrationstester und Informationssicherheitsberater
Dr. Benjamin Kellermann
Erfahrener Penetrationstester und Informationssicherheitsberater
Unser Schulungsangebot richtet sich an Unternehmen und Organisationen. Schon ab drei Teilnehmern kann eine Schulung wirtschaftlich sein. Diese findet bei Ihnen im Haus statt oder wird von uns in Ihrer Wunschumgebung organisiert.

Ihr Ansprechpartner:

Dr.-Ing. Benjamin Kellermann

Nehmen Sie Kontakt per Email auf.
Oder rufen Sie uns an oder nutzen Sie unser Kontaktformular.