Bedrohungsmodellierung

Bedrohungsmodellierung

by Izar Tarandach, Matthew J. Coles
Released September 2024
Publisher(s): O'Reilly Media, Inc.
ISBN: 9781098190309

Read it now on the O’Reilly learning platform with a 10-day free trial.

O’Reilly members get unlimited access to books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.

Start your free trial

Book description

Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com

Die Bedrohungsmodellierung ist einer der wichtigsten - und am meisten missverstandenen - Teile des Entwicklungslebenszyklus. Egal, ob du ein Sicherheitsexperte oder ein Mitglied eines Entwicklungsteams bist, dieses Buch wird dir helfen, besser zu verstehen, wie du die Kernkonzepte der Bedrohungsmodellierung in deiner Praxis anwenden kannst, um deine Systeme vor Bedrohungen zu schützen.

Entgegen der landläufigen Meinung erfordert die Modellierung von Bedrohungen keine fortgeschrittenen Sicherheitskenntnisse, um sie zu initiieren, oder eine Herkulesaufgabe, um sie aufrechtzuerhalten. Aber es ist wichtig, um potenzielle Probleme auf kosteneffiziente Weise zu erkennen und zu beseitigen, bevor der Code geschrieben wird - und bevor es zu spät ist, eine Lösung zu finden. Die Autoren Izar Tarandach und Matthew Coles zeigen dir verschiedene Möglichkeiten, wie du die Bedrohungsmodellierung in deinem Unternehmen angehen und durchführen kannst.

  • Erforsche grundlegende Eigenschaften und Mechanismen zur Sicherung von Daten und Systemfunktionen
  • Verstehe die Beziehung zwischen Sicherheit, Privatsphäre und Schutz
  • Schlüsselmerkmale für die Bewertung der Systemsicherheit zu erkennen
  • Einen detaillierten Überblick über gängige und spezielle Techniken zur Modellierung und Analyse deiner Systeme erhalten
  • einen Blick in die Zukunft der Bedrohungsmodellierung und agiler Entwicklungsmethoden, einschließlich DevOps-Automatisierung
  • Finden Sie Antworten auf häufig gestellte Fragen und erfahren Sie, wie Sie häufige Fallstricke bei der Bedrohungsmodellierung vermeiden können.

Table of contents

  1. Vorwort
  2. Vorwort
    1. Warum wir dieses Buch geschrieben haben
    2. Für wen dieses Buch ist
    3. Was in diesem Buch steht (und was nicht!)
    4. Diese Techniken gelten für verschiedene Systeme
    5. Dein Beitrag ist wichtig
    6. In diesem Buch verwendete Konventionen
    7. O'Reilly Online Learning
    8. Wie du uns kontaktierst
    9. Danksagungen
  3. Einführung
    1. Die Grundlagen der Bedrohungsmodellierung
      1. Was ist Threat Modeling?
      2. Warum du Threat Modeling brauchst
      3. Hindernisse
      4. Bedrohungsmodellierung im Lebenszyklus der Systementwicklung
    2. Grundlegende Sicherheitsprinzipien
      1. Grundlegende Konzepte und Terminologie
      2. Berechnung der Schwere oder des Risikos
      3. Kern-Eigenschaften
      4. Grundlegende Kontrollen
      5. Grundlegende Entwurfsmuster für sichere Systeme
    3. Zusammenfassung
  4. 1. Systeme modellieren
    1. Warum wir Systemmodelle erstellen
    2. Arten der Systemmodellierung
      1. Datenflussdiagramme
      2. Sequenzdiagramme
      3. Prozessablaufdiagramme
      4. Angriffsbäume
      5. Fishbone-Diagramme
    3. Wie man Systemmodelle erstellt
    4. Wie sieht ein gutes Systemmodell aus?
    5. Zusammenfassung
  5. 2. Ein allgemeiner Ansatz zur Bedrohungsmodellierung
    1. Grundlegende Schritte
    2. Was du von einem Systemmodell erwartest
      1. Die üblichen Verdächtigen
      2. Was du nicht erwarten solltest zu entdecken
    3. Sammeln von Informationen über Bedrohungen
    4. Zusammenfassung
  6. 3. Methoden der Bedrohungsmodellierung
    1. Bevor wir zu tief gehen...
    2. Blick durch Filter, Winkel und Prismen
    3. Zu den Methoden, endlich!
      1. STRIDE
      2. STRIDE pro Element
      3. STRIDE pro Interaktion
      4. Prozess für Angriffssimulation und Bedrohungsanalyse
      5. Analyse der Bedrohungslage und Abhilfemaßnahmen
      6. Trike
    4. Spezialisierte Methodologien
      1. LINDDUN
      2. Wahnsinn? Das ist SPARTA!
      3. ENTHÄLT KEINEN SCHMUTZ
    5. Sollen wir ein Spiel spielen?
      1. Spiel: Erhöhung des Privilegs
      2. Spiel: Aufhebung von Privilegien und Privatsphäre
      3. Spiel: OWASP Cornucopia
      4. Spiel: Karten zur Entdeckung von Sicherheits- und Datenschutzbedrohungen
      5. Spiel: LINDDUN GO
    6. Zusammenfassung
  7. 4. Automatisierte Modellierung von Bedrohungen
    1. Warum die Bedrohungsmodellierung automatisieren?
    2. Bedrohungsmodellierung aus dem Code
      1. Wie es funktioniert
    3. Bedrohungsmodellierung mit Code
      1. Wie es funktioniert
      2. pytm
      3. Threagile
    4. Ein Überblick über andere Tools zur Bedrohungsmodellierung
      1. IriusRisk
      2. SD-Elemente
      3. ThreatModeler
      4. OWASP Threat Dragon
      5. Microsoft Threat Modeling Tool
      6. CAIRIS
      7. Mozilla Meeresschwamm
      8. Tutamen Threat Model Automator
    5. Bedrohungsmodellierung mit ML und KI
    6. Zusammenfassung
  8. 5. Kontinuierliche Modellierung von Bedrohungen
    1. Warum kontinuierliche Bedrohungsmodellierung?
    2. Die Methodik der kontinuierlichen Bedrohungsmodellierung
    3. Evolutionär: Ständig besser werden
    4. Die Autodesk-Methode zur kontinuierlichen Bedrohungsmodellierung
      1. Baseline
      2. Grundlegende Analyse
      3. Wann weißt du, dass du genug getan hast?
      4. Bedrohungsmodell Jede Geschichte
      5. Erkenntnisse aus der Praxis
    5. Zusammenfassung
  9. 6. Übernimm deine Rolle als Threat Modeling Champion
    1. Wie bringe ich die Führung ins Boot mit der Bedrohungsmodellierung?
    2. Wie überwinde ich den Widerstand des restlichen Produktteams?
    3. Wie überwinden wir das Gefühl des (tatsächlichen) Versagens bei der Bedrohungsmodellierung?
    4. Wie wähle ich eine Bedrohungsmodellierungsmethode aus vielen ähnlichen Ansätzen aus?
    5. Wie soll ich "die schlechte Nachricht" überbringen?
    6. Welche Maßnahmen sollte ich bei akzeptierten Befunden ergreifen?
    7. Habe ich etwas verpasst?
    8. Zusammenfassung und Abschluss
    9. Weitere Lektüre
  10. A. Ein praktisches Beispiel
    1. Übergeordnete Prozessschritte
    2. Annäherung an dein erstes Systemmodell
    3. Eine Übung zur Bedrohungsmodellierung leiten
    4. Eine Beispielübung: Ein Systemmodell erstellen
      1. Identifizierung von Komponenten, Strömen und Vermögenswerten
      2. Identifizierung von Systemschwächen und Schwachstellen
      3. Identifizierung von Bedrohungen
      4. Feststellung der Ausnutzbarkeit
      5. Die Dinge zum Abschluss bringen
  11. B. Das Manifest zur Bedrohungsmodellierung
    1. Methode und Zweck
    2. Das Manifest zur Bedrohungsmodellierung
      1. Was ist Threat Modeling?
      2. Warum ein Bedrohungsmodell?
      3. Wer sollte ein Threat Model sein?
      4. Wie sollte ich das Threat Modeling Manifest verwenden?
      5. Werte
      6. Grundsätze
      7. Über
  12. Index

Product information

  • Title: Bedrohungsmodellierung
  • Author(s): Izar Tarandach, Matthew J. Coles
  • Release date: September 2024
  • Publisher(s): O'Reilly Media, Inc.
  • ISBN: 9781098190309