Sinn und Zweck des Threat Modeling
Das Threat Modeling ist ein Teilbereich des Risikomanagements und stellt einen sich stetig wiederholenden Prozess dar, um potenzielle oder realexistierende Schwachstellen, Angriffsvektoren und Lücken in der Verteidigung zu identifizieren. Infolgedessen kann man entsprechende Gegenmaßnahmen treffen, um das Ausnutzen dieser zu verhindern. Threat Modeling spielt daher auch bei Themen wie Data Loss Prevention und Data Leakage Prevention eine bedeutende Rolle.
Drei Wege müssen Sie für ein erfolgreiches Threat Modeling gehen
In Threat Modeling gibt es verschiedene Ansätze, um zu einer Übersicht zu kommen, z. B. aus der Sicht des Angreifers, der Infrastruktur und zuletzt, der der Assets.
Threat Modeling: Die Sicht des Angreifers
Hierbei versucht man beim Threat Modeling aus der Sicht eines Angreifers zu ermitteln, welche Möglichkeiten er finden könnte, um an Unternehmensdaten oder Unternehmensgeräte zu kommen, wie er sich ausbreiten (Lateral Movement) und schließlich möglichst unbemerkt davon kommen oder weiter machen könnte. Ein solches Szenario hängt ebenso sehr von den Fähigkeiten und Zielen des Angreifers ab wie von seiner Position, von der aus er angreift (von außen, aus dem Internet, von innen oder aus einem benachbarten Netzwerk). Dieses Vorgehen spiegelt in gewisser Weise den Ansatz wider, der der Realität am nächsten kommt. Beim Threat Modeling geht es also darum, zum einen natürlich durch Penetrationstests oder Red Teaming, zum anderen durch „Was wäre wenn“-Szenarien noch unbekannte Angriffsvektoren zu finden.
Threat Modeling: Aus Sicht der Infrastruktur
Eine andere Sicht des Threat Modeling ist jene des Administrators oder IT-Consultants, die auf der Infrastruktur basiert. Wir wissen, welche Geräte sich in unserem Unternehmen befinden. Wir kennen unsere Datenbankserver, unsere Router und Switche, die Mail- und Fileserver. Wir wissen, wer worauf Zugriff braucht, aus welchen Geräten sich das Netz (oder die Subnetze) zusammensetzt, wie diese miteinander verbunden sind und wir wissen, welche Daten sich wo befinden.
In dieser Form des Threat Modelings wird sich einzeln auf die Elemente der Infrastruktur fokussiert, um zu identifizieren, von welchen Schwachstellen sie individuell betroffen sind. Nach deren Ermittlung können entsprechende Gegen- und Schutzmaßnahmen umgesetzt werden.
Threat Modeling: Aus Sicht der unternehmensspezifischen Assets
Die dritte Sicht des Threat Modelings konzentriert sich auf die Assets eines Unternehmens, kritische Informationen, Daten sowie Maschinen und deren Aufenthaltsort. Daran anschließend erarbeitet man das Profil eines möglichen Angreifers. Man stellt sich die Fragen, was seine Motivation sein könnte, wie wertvoll diese Assets für ihn wären und wie viel Aufwand er betreiben müsste, um an diese Assets zu kommen.
Detektier- und Widerstandsfähigkeit mit Threat Modeling
Für Unternehmen ist es angebracht, nicht nur einen Ansatz des Threat Modelings allein zu wählen, sondern bestenfalls alle drei, um ein möglichst umfassendes Bild der Lage zu bekommen. Denn in der Realität gilt, je schwerer ein Angreifer es hat, an sein Ziel zu kommen, desto wahrscheinlicher wird er sich andere und einfachere Ziele suchen.
Aber es ist nicht nur wichtig, einem Angriff zu widerstehen, wenn er erfolgt, sondern auch wie man Angriffe überhaupt erkennen kann. Egal wie widerstandsfähig eine IT-Infrastruktur auch wirken mag, so kann man niemals mit absoluter Gewissheit die Möglichkeit einer Kompromittierung ausschließen und es ist stets besser, IoAs (Indicator of Attacks) als IoCs (Indicator of Compromise) zu finden.
