Einführung ins Threat Modeling – IT-Security als Mindset etablieren

IT-Security sollte ein zentrales Qualitätsmerkmal professioneller Softwareentwicklung sein. Oft genug wird das Thema jedoch zunächst zurückgestellt. Häufig genug landen dadurch zunächst die gewollten Features auf der Liste, während Sicherheitsaspekte ganz nach hinten rutschen. Was zunächst sinnvoll aussieht, weil Projekte schneller fertig zu werden scheinen, entpuppt sich später oft genug als großes Problem: Es häufen sich technische (Sicherheits-)Schulden an, die nicht erst dann zum Problem werden, wenn der Hacker anklopft. Firmen benötigen daher ein pragmatisches, kontinuierliches Sicherheitskonzept, das direkt beim Entwicklerteam beginnt.

Ziel des Workshops ist es, Threat Modeling auch ohne großes Vorwissen als Teil einer durchdachten Sicherheitsstrategie durchführen zu können. Die Teilnehmer betrachten ein Beispielszenario eines komplexen IT-Systems. Mithilfe des STRIDE-Frameworks versuchen sie, Bedrohungen für dieses System zu finden und zu benennen.

Zum Schluss zeigt der Referent, wie sich Threat Modeling über einen Gamification-Ansatz mittels eines Kartenspiels in Teams einführen lässt, sodass alle Entwickler eingebunden sind und sich der Ansatz in den agilen Arbeitsalltag reibungsfrei einbinden lässt.

Der Workshop selbst findet auf Deutsch statt. Die Präsentation liegt in englischer Sprache vor.

Inhalte

• 1. Threat Modeling

  • Was ist das?

  • Was bringt es?

  • Wer sollte es machen? Wann sollte man es machen?

  • Patterns/Antipatterns

• 2. Systemmodellierung

  • Darstellungen eines Modells

  • Trust Boundaries

• 3. Bedrohungsermittlung

  • Was ist das STRIDE-Modell?

  • Welche Kategorien von Cyberbedrohungen gibt es?

  • Wie wendet man STRIDE an, um Bedrohungen zu ermitteln?

  • Wie helfen Kartenspiele, um Bedrohungen zu finden?

  • Wie wendet man Threat Modeling in DevOps-Prozessen an?

• 4. Risiko- und Maßnahmenbewertung

  • Risikobasierte Priorisierung von Gegenmaßnahmen

  • Einbettung von Threat Modeling in agile Entwicklungsprozesse

Ihr Nutzen

• Sie erfahren, was Threat Modeling ist und wie es genutzt werden kann, um IT-Produkte schon vor der Implementierung abzusichern.

• Sie erlernen Strategien, um bestehende Systeme mittels Threat Modeling zu schützen.

• Sie lernen grundlegende Methodiken kennen und können diese anwenden.

• Nach diesem Workshop sind Sie in der Lage, selbstständig ein Threat Modeling Programm einzuführen und voranzutreiben.

• Ein besonderer Fokus des Workshops liegt dabei auf agilen und DevOps-Projekten.

Zielgruppe

• Entwickler und Security-Enthusiasten, die die Ideen von Threat Modeling ins Entwicklungsteam weitertragen. Security-Vorerfahrungen sind nicht zwingend notwendig.

• Architekten, SREs, Security-Beauftragte

Leistungen Ihres Workshop-Tickets

• Workshop-Unterlagen

• Teilnahmebescheinigung

Durchführung

Ist die Durchführung der Veranstaltung aufgrund höherer Gewalt, wegen Verhinderung eines Referenten, wegen Störungen am Veranstaltungsort oder aufgrund zu geringer Teilnehmerzahl (weniger als 50%) nicht möglich, werden die Teilnehmer spätestens 7 Tage vorher informiert.

Die Teilnehmerzahl ist auf max. 15 Personen begrenzt.