Mimecast Logo
Schedule a Demo
Start Free Trial
    Inzichten in cyberbestendigheid
    Alle onderwerpen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Dreigingsintelligentie

    Wat is dreigingsmodellering?

    Bedrijven gebruiken threat modeling om hun blootstelling aan aanvallen te analyseren, reacties te plannen en uitkomsten te beoordelen. Het werkt als volgt.

    by Mercedes Cardona
    gettyimages-1300319507.png

    Hoofdpunten

    • Threat modeling identificeert potentiële bedreigingen voor de systemen van uw bedrijf en evalueert hoe u zich daartegen kunt verdedigen.
    • Aangezien cyberdreigingen voortdurend evolueren, biedt modellering veiligheidsteams een kader om proactieve stappen te ondernemen.
    • Hier volgt een overzicht van enkele van de vele methodologieën waaruit kan worden gekozen.

     

    Modellering van cyberbedreigingen is net zoiets als oorlogsspel. Het is een proces van methodisch identificeren van potentiële bedreigingen voor de systemen van een bedrijf, precies vaststellen hoe - en hoe erg - een tegenstander schade zou kunnen toebrengen, en dan verschillende verdedigingen afwegen.

    De methoden voor het opstellen van dreigingsmodellen variëren naar gelang van deze drie aandachtsgebieden:

    • Systemen: Hoe zit een systeem in elkaar, hoe bewegen de gegevens erover, en waar zitten de zwakke plekken?
    • Adversaries: Wie zijn de potentiële aanvallers, zoals ransomwarekringen of door de staat gesponsorde actoren, en op welke bedrijfsmiddelen zouden zij zich willen richten?
    • Activa: Welke gegevens, financiële en andere activa van het bedrijf zijn het doelwit en waar bevinden zich de zwakke punten die kunnen worden uitgebuit?

    Er is een aantal kaders en methodologieën ontwikkeld om dreigingsmodellen te begeleiden, die verderop in dit artikel worden beschreven. Ook allerlei technologische hulpmiddelen kunnen het proces ondersteunen, zoals threat feeds - gegevensstromen met informatie over cyberaanvallers, waaronder hun strategieën en mogelijkheden. Het nadeel van threat feeds is dat ze enorm zijn, waardoor het genereren van bruikbare inzichten uit deze feeds veel beveiligingsresources kan vergen. Technologietools zoals van Mimecast kunnen helpen door bedreigingsfeeds automatisch te parseren en ze te integreren in de dashboards van analisten om informatie over bedreigingen te leveren die contextueel, bruikbaar, gemakkelijk te consumeren en leerzaam is.

    Het proces van dreigingsmodellering

    Het Threat Modeling Manifesto, opgesteld door een non-profit groep van cyberbeveiligingsprofessionals, beveelt aan om elke systeemanalyse te beginnen met deze vragen van hoog niveau:[1]

    • Waar zijn we mee bezig?
    • Wat kan er fout gaan?
    • Wat gaan we er aan doen?
    • Hebben we het goed genoeg gedaan?

    Deze vier vragen dienen als richtsnoer voor een dreigingsmodelleringsproces dat uit verschillende stappen bestaat:

    • Het systeem deconstrueren en doelstellingen bepalen. Analisten moeten de structuur van de verschillende systemen van een bedrijf ontleden en aangeven waarvoor ze zijn ontworpen, met behulp van gegevensstroom- of processtroomdiagrammen om de belangrijkste middelen en gebruikers te visualiseren. Deze stap bouwt een begrip op van waar het bedrijf mee bezig is en hoe het werk wordt gedaan. Dat betekent dat IT- of informatiebeveiligingsteams moeten samenwerken met belanghebbenden in de hele organisatie.
    • Bepaal en rangschik bedreigingen. Dit is het stadium waarin het dreigingsmodel zich afvraagt: "Wat kan er misgaan?" Het doel is bedreigingen te visualiseren vanuit het gezichtspunt van zowel de aanvaller als de verdediger: Op welke middelen, gebruikers, processen of gegevens zou een aanvaller zich richten en hoe? Wat is het beveiligingsrisico en de potentiële impact van elke bedreiging?
    • Bepaal tegenmaatregelen en risicobeperking. Zodra de risico's zijn geïdentificeerd en gerangschikt, kunnen zij worden geprioriteerd aan de hand van factoren zoals de gevolgen voor het bedrijf als basis voor het nemen van maatregelen, die kunnen variëren van het inzetten van technologische beveiligingen tot het verbeteren van operationele praktijken.
    • Evalueren. Deze leerzame stap in het proces van dreigingsmodellering is niet minder belangrijk dan de rest. Er wordt nagegaan hoe de organisatie heeft gereageerd op dreigingen uit het verleden, of kwetsbaarheden zijn aangepakt en hoe. Duidelijk gedocumenteerde bevindingen moeten onder alle belanghebbenden worden verspreid. Bovendien moet de organisatie zich ertoe verbinden door te gaan met het opstellen van dreigingsmodellen en beslissen hoe het volgende proces eruit zal zien, op basis van deze evaluatie, en wanneer het zal plaatsvinden.

    Waarom is dreigingsmodellering belangrijk?

    In een omgeving waarin bedreigingen zich voortdurend ontwikkelen en aanvallers met de dag geraffineerder worden, biedt threat modeling bedrijven een kader om proactiever te worden.

    Beste praktijken voor dreigingsmodellering

    • Geef prioriteit aan het proces. Koppel threat modeling niet aan andere projecten; het is een intensief proces. En ga er niet van uit dat threat modeling een eenmalige exercitie is, maar maak er een doorlopende praktijk van.
    • Neem een holistische kijk. Bekijk systemen niet in een vacuüm. Net zoals cybercriminelen bij hun aanvallen zijdelings over systemen heen bewegen, moeten verdedigers naar het geheel van hun systemen kijken in plaats van zich te concentreren op de beveiliging van afzonderlijke bedrijfsmiddelen.
    • Loop niet achter glimmende objecten aan. De nieuwste high-profile bedreiging is misschien niet de bedreiging die zich op uw organisatie richt. Bedreigingen zullen variëren afhankelijk van de bedrijfstak, functies en infrastructuur van elk bedrijf; bij het opstellen van bedreigingsmodellen moet met deze aspecten rekening worden gehouden.
    • Wees geen held. Neem niet alle verantwoordelijkheid voor deze oefening op je. Stel een document op dat gemakkelijk met andere leden van de organisatie kan worden gedeeld, zodat zij kunnen deelnemen aan en voortbouwen op het werk van het veiligheidspersoneel.
    • Pak niet te veel aan. Maak van beperking en herstel een voortdurende oefening, in plaats van te proberen alles in één keer op te lossen. Stel prioriteiten en houd rekening met de risico's en kosten van verschillende potentiële bedreigingen en maatregelen.

    Methodes voor het modelleren van bedreigingen

    De keuze van het juiste raamwerk voor dreigingsmodellering hangt af van een aantal factoren, waaronder:

    • In welke bedrijfstak is het bedrijf actief?
    • Hoe is het gestructureerd?
    • Wie zijn de belanghebbenden?
    • Wat is de risicobereidheid van de onderneming?
    • Wat zijn de potentiële bedreigingen?
    • Welke dekking is nodig, in termen van werknemers, apparaten, verkopers en andere derden?
    • Hoe groot is het beveiligingsteam en zijn budget?

    Dreigingsmodelleringskaders omvatten:

    • STRIDE: Dit kader richt zich op zes topcategorieën van bedreigingen: spoofing van andermans identiteit, knoeien met gegevens, afwijzen van een actie, openbaarmaking van informatie, denial of service en elevatie van privileges.
    • DREAD: Deze gaat STRIDE een stap verder door de volgende vijf dimensies toe te voegen: schadepotentieel, reproduceerbaarheid, exploiteerbaarheid, getroffen gebruikers en detecteerbaarheid.
    • PASTA: Dit "proces voor aanvalssimulatie en dreigingsanalyse" is gericht op dreigingsanalyse en aanvalsmodellering om beveiligingseisen af te stemmen op bedrijfsdoelstellingen.
    • VAST: Dit model, waarvan het acroniem staat voor "visual, agile and simple threat", is gebouwd voor automatisering en gericht op het integreren van meerdere teams in het proces.
    • NIST: Het raamwerk van het National Institute of Standards and Technology identificeert interessante gegevens en aanvalsvectoren, rangschikt vervolgens de controles om die vectoren te beperken en analyseert de algemene doeltreffendheid.
    • OCTAVE: Deze methodologie ("operationeel kritische evaluatie van bedreigingen, activa en kwetsbaarheden") legt de nadruk op operationele boven technologische risico's, in de hele organisatie.[2]
    • Trike: Deze open-source methode heeft een meer compliance-gebaseerde aanpak die zich concentreert op welke privileges gebruikers hebben, en die de analyse vaak beperkt tot inbreuken op de verhoging van privileges.

    Er zijn andere, min of meer vergelijkbare raamwerken, zoals LINDDUN ("linkability, identifiability, nonrepudiation, detectability, disclosure of information, unawareness, noncompliance") en CVSS ("common vulnerability scoring system"). De keuze van een onderneming zou afhangen van haar risico, middelen en andere factoren.

    De kern van de zaak

    Threat modeling betekent dat u in de hoofden van potentiële aanvallers kruipt, op hun bewegingen anticipeert en effectievere verdedigingsplannen maakt. Als zodanig biedt het een kader voor het toepassen van een voortdurende stroom van informatie over bedreigingen om uw organisatie te beschermen. Lees verder om te leren hoe Mimecast's Threat Feed een belangrijke aanvulling kan zijn op de bronnen van bedreigingsinformatie van een bedrijf.


    [1] "Threat Modeling Manifesto," Werkgroep Threat Modeling Manifesto

    [2] "SEI Releases OCTAVE FORTE Model for Enterprise Risk Management," Carnegie Mellon University Software Engineering Institute

     

     

    GettyImages-1026210184-1200px.jpg
    Up Next
    Dreigingsintelligentie |
    Handel chirurgisch, niet lukraak: Precieze reacties op inbreuken

    Verwante Artikelen

    Dreigingsintelligentie
    Mimecast Discovers Use-After-Free Zero-Day Vulnerability in Adobe Reader  
    Dreigingsintelligentie
    Hijacked from Within: The Ransomware Insider Threat
    Dreigingsintelligentie
    What Is a Botnet?   

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven