Was ist das STRIDE-Bedrohungsmodell?

Jüngste hochkarätige Sicherheitsverletzungen haben gezeigt, dass reaktive Sicherheitsmaßnahmen nicht ausreichen. Eine richtige Bedrohungsmodellierung hätte einige dieser Verstöße möglicherweise verhindert. Das von Microsoft entwickelte STRIDE-Bedrohungsmodell hat sich zu einem der effektivsten Frameworks für proaktive Sicherheitsplanung entwickelt. Das Akronym STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service (DoS) und Elevation of Privilege) ist ein systematischer Ansatz zur Sicherheit, der Entwicklungsteams dabei unterstützt, wie Angreifer zu denken, um ihre Systeme zu schützen, bevor es zu Verstößen kommt.

Die 6 Kategorien von STRIDE

Das STRIDE-Modell kategorisiert Bedrohungen in sechs Arten, die jeweils einen anderen Aspekt der Software-Sicherheitsrisiken angehen:

• Spoofing: Stellen Sie sich Spoofing als digitalen Identitätsdiebstahl vor. Es bezieht sich auf das Imitieren eines anderen Benutzers oder einer anderen Systemkomponente, um unbefugten Zugriff zu erhalten. Spoofing-Angriffe kompromittieren Authentifizierungsmechanismen, sodass Angreifer sich als legitime Benutzer oder Geräte ausgeben können.

• Manipulation: Manipulation ist die unbefugte Änderung von Daten oder Code. Solche Angriffe können die Datenintegrität beeinträchtigen, indem sie Dateien, Datenbanken, Softwarecode, Bereitstellungspipelines oder Speicher in laufenden Anwendungen ändern. Manipulation birgt in jedem System ernsthafte Risiken, insbesondere in denen die Datengenauigkeit für die Entscheidungsfindung entscheidend ist.

• Ablehnung: Die Bedrohung durch die Repudiation nutzt Lücken in der Rechenschaftspflicht. Diese Art von Sicherheitsbedrohung tritt auf, wenn ein Benutzer oder ein System die Ausführung einer bestimmten Aktion, z. B. einer Transaktion, ablehnt. Diese Bedrohung nutzt einen Mangel an leugnungsfreien Kontrollen in Softwaresystemen, was es schwierig macht, die Parteien für ihre Handlungen zur Rechenschaft zu ziehen.

• Offenlegung von Informationen: Dies bezieht sich auf die unbeabsichtigte Offenlegung vertraulicher oder sensibler Informationen gegenüber unbefugten Parteien. Dies kann auf unzureichende Verschlüsselung, unsachgemäße Zugriffskontrollen oder Schwachstellen in Webanwendungen zurückzuführen sein.

• Denial of Service (DoS): Diese Kategorie von Sicherheitsbedrohungen zielt darauf ab, die Verfügbarkeit von Services zu unterbrechen, indem das System mit übermäßigen Anfragen überfordert oder Systemschwachstellen ausgenutzt werden. DoS-Angriffe machen Systeme für legitime Benutzer nicht verfügbar und verursachen Geschäftsunterbrechungen.

• Verbesserung des Privilegs: Dies tritt auf, wenn ein Angreifer einen höheren Zugriff als beabsichtigt erhält, oft durch Ausnutzen einer Systemschwachstelle. Dies kann zu einer Kontrolle auf Verwaltungsebene über ein System führen, sodass der Angreifer Schadsoftware installieren, Systemkonfigurationen ändern oder auf sensible Daten zugreifen kann.

Spoofing

Spoofing ist der Vorgang, bei dem man sich als ein anderes Gerät oder Benutzer ausgibt, um Systeme oder Einzelpersonen zu täuschen. Dies kann das Fälschen von Identitätsinformationen wie IP-Adressen oder E-Mail-Headern beinhalten. Die durch Spoofing ausgehende Bedrohung ist erheblich, da sie zu unbefugtem Zugriff, Datenschutzverletzungen und Manipulation von Informationen führen kann. Wenn Angreifer Identitäten erfolgreich fälschen, können sie Sicherheitsmaßnahmen, die zum Schutz sensibler Systeme entwickelt wurden, leicht umgehen. Häufige Beispiele für Spoofing-Angriffe sind E-Mail-Spoofing, bei dem Angreifer Nachrichten senden, die scheinbar von einer vertrauenswürdigen Quelle stammen, und IP-Spoofing, das es böswilligen Benutzern ermöglichen kann, der Erkennung zu entgehen. Die potenziellen Auswirkungen dieser Angriffe können von finanziellen Verlusten und Reputationsschäden bis hin zu kompromittierten personenbezogenen Daten reichen.

Manipulation

Unter Manipulation versteht man die unbefugte Änderung von Daten oder Systemkonfigurationen, die das Ändern von Dateien, das Ändern von Softwarecode oder das Beeinträchtigen von Daten während der Übertragung umfassen kann. Dieser Vorgang untergräbt die Integrität von Softwaresystemen und führt falsche oder böswillige Daten ein, die zu fehlerhaftem Systemverhalten oder -entscheidungen führen können. Solche Änderungen zerstören das Vertrauen der Benutzer und können gegen Compliance-Vorschriften verstoßen. Ein Beispiel für Manipulation ist, wenn ein Angreifer den Inhalt eines Software-Updates ändert oder Transaktionsdatensätze in einer Datenbank manipuliert. Die Auswirkungen dieser Angriffe können schwerwiegend sein, was zu finanziellen Verlusten, rechtlichen Folgen und erheblichen Schädigungen des Rufs einer Marke führt.

Replikation

In der Cybersicherheit beschreibt die Ablehnung die Fähigkeit eines Benutzers, die Durchführung einer Aktion innerhalb eines Systems zu verweigern, oft aufgrund eines Mangels an zuverlässigen Beweisen oder Protokollen. Dies stellt Herausforderungen für Verantwortlichkeit und Nicht-Ablehnung dar, was es schwierig macht, Aktionen zu den Benutzern zurückzuverfolgen.  Die Replikation kann in E-Commerce-, Finanz- oder Rechtssystemen, in denen Transaktionsprotokolle zuverlässig sein müssen, besonders problematisch sein. Wenn ein Benutzer beispielsweise behauptet, dass er eine Transaktion nicht autorisiert hat, kann das Fehlen einer ausreichenden Protokollierung Untersuchungen und die Durchsetzung von Sicherheitsrichtlinien behindern. Die Auswirkungen solcher Repudiationsangriffe können zu Streitigkeiten über Transaktionen, erhöhten Betrugsmöglichkeiten und geschwächten Sicherheitsprotokollen führen, die alle die allgemeine Integrität eines Systems beeinträchtigen können.

Offenlegung von Informationen

Die Offenlegung von Informationen umfasst den unbefugten Zugriff oder die unbefugte Offenlegung sensibler Daten gegenüber natürlichen oder juristischen Personen, die nicht dazu bestimmt sind, sie zu erhalten. Dieser unbefugte Zugriff stellt eine ernsthafte Bedrohung dar, da er zu Identitätsdiebstahl, Unternehmensspionage und Verstößen gegen Datenschutzvorschriften führen kann. Die Vertraulichkeit von Daten wird beeinträchtigt, was sowohl für Einzelpersonen als auch für Organisationen dauerhafte Auswirkungen haben kann. Die Offenlegung von Informationen manifestiert sich oft in Nebenkanalangriffen in Microservices, in Cloud-Fehlkonfigurationen, bei API-Informationslecks und bei Cache-Timing-Angriffen. Zu den gemeinsamen Zielen der Offenlegung von Informationen gehören personenbezogene Daten, Geschäftsgeheimnisse und geistiges Eigentum, was zu behördlichen Bußgeldern und Reputationsschäden führen kann.

Beispiele für Angriffe auf die Offenlegung von Informationen sind Datenschutzverletzungen, die dazu führen, dass sensible Kundendaten weitergegeben werden, oder falsch konfigurierter Cloud-Storage, der private Daten preisgibt. Die potenziellen Auswirkungen sind erheblich und umfassen finanzielle Verluste, rechtliche Verbindlichkeiten und einen verheerenden Schlag auf das Verbrauchervertrauen.

Denial of Service

„Denial of Service“ (DoS) bezieht sich auf einen Angriff, der darauf abzielt, einen Service für seine beabsichtigten Benutzer nicht verfügbar zu machen, indem er ihn mit Datenverkehr überfordert oder Schwachstellen ausnutzt. Solche Angriffe stören die Verfügbarkeit von Softwaresystemen und machen sie für legitime Benutzer unzugänglich. Die Folgen können Ausfallzeiten, Umsatzverluste und Schädigungen des Rufs eines Unternehmens sein. Ein häufiges Beispiel für einen DoS-Angriff ist ein DDoS-Angriff (Distributed Denial of Service), bei dem mehrere Systeme einen Zielserver mit Datenverkehr überfluten. Die Auswirkungen dieser Angriffe können erheblich sein, was zu Betriebsunterbrechungen und erheblichen finanziellen Kosten führt, die eine erhebliche Zeit in Anspruch nehmen können.

Verbesserung des Privilegs

Die Erhöhung der Berechtigung beschreibt eine Sicherheitsschwachstelle, die es einem Benutzer ermöglicht, unbefugten Zugriff auf übergeordnete Funktionen oder Daten innerhalb eines Systems zu erhalten. Diese Art von Zugriff stellt eine ernsthafte Bedrohung dar und ermöglicht es Angreifern, sensible Daten zu manipulieren, administrative Befehle auszuführen oder die Systemintegrität zu beeinträchtigen. Zum Beispiel kann ein zunehmender Angriff auf Privilegien die Ausnutzung von Softwareschwachstellen umfassen, um Administratorrechte zu erhalten, oder die Anwendung von Social-Engineering-Taktiken, um Benutzer dazu zu verleiten, einen erhöhten Zugriff zu gewähren. Die potenziellen Auswirkungen solcher Angriffe können tiefgreifend sein, was zu Datenschutzverletzungen, Systembeschädigungen und erheblichen Schäden an der Unternehmenssicherheit führt, was es für Unternehmen unerlässlich macht, effektive Sicherheitsmaßnahmen zu priorisieren.

STRIDE implementieren

Wir können die Implementierung von Bedrohungsmodellierung mit STRIDE in den folgenden Phasen allgemein einstufen:

Phase 1: Systemzersetzung

Unterteilen Sie die Softwarearchitektur in verschiedene Komponenten wie Server, Datenbanken, APIs und Benutzeroberflächen. Dies hilft dabei, die Einstiegspunkte und Ressourcen zu ermitteln, auf die Bedrohungen abzielen können.

1. Erstellen Sie ein Datenflussdiagramm (DFD) Ihres Systems.
2. Identifizieren Sie Vertrauensgrenzen.
3. Entwerfen Sie Systemkomponenten und ihre Interaktionen.
4. Dokumentieren Sie Authentifizierungs- und Autorisierungspunkte.

Phase 2: Bedrohungsanalyse

Analysieren Sie für jede identifizierte Komponente potenzielle Bedrohungen basierend auf den STRIDE-Kategorien. Prüfen Sie beispielsweise, ob Authentifizierungsmechanismen anfällig für Spoofing sind oder ob Daten-Storage-Methoden anfällig für Manipulationen sein könnten.

Für jede Komponente:

1. Wenden Sie STRIDE-Kategorien an.
2. Verwenden Sie Bedrohungsbäume, um Angriffsvektoren zu identifizieren.
3. Berücksichtigen Sie die geschäftlichen Auswirkungen.
4. Dokumentieren Sie Annahmen und Abhängigkeiten.

Phase 3: Planung der Risikominderung

Entwickeln Sie für jede Bedrohung entsprechende Sicherheitskontrollen. Techniken können die Durchsetzung einer starken Authentifizierung zur Verhinderung von Spoofing, die Verwendung digitaler Signaturen zum Schutz vor Manipulationen oder die Implementierung von Ratenbegrenzungen zum Schutz vor DoS-Angriffen umfassen.

Erstellen Sie eine Minderungsstrategie, die Folgendes umfasst:

1. Technische Kontrollen
2. Verfahrenssicherungen
3. Überwachungsanforderungen
4. Verfahren zur Reaktion auf Vorfälle

Moderne Tools für die STRIDE-Implementierung

Kommerzielle Tools

• Microsoft Threat Modeling Tool: Mit diesem Tool können Benutzer visuelle Darstellungen von Softwaresystemen erstellen und Bedrohungen basierend auf dem STRIDE-Framework erkennen.
• IriusRisk: Dieses Tool bietet automatisierte Funktionen zur Bedrohungsmodellierung und Risikobewertung, die die Integration in bestehende Entwicklungsworkflows ermöglichen.
• ThreatModeler: Dieses native Cloud-Bedrohungsmodellierungstool erleichtert die Identifizierung und Bewertung von Sicherheitsbedrohungen in Architekturdesigns und ermöglicht die Zusammenarbeit und Integration in Entwicklungsprozesse.

Open-Source-Alternativen

• OWASP Threat Dragon: Dieses Open-Source-Bedrohungsmodellierungstool unterstützt die Darstellung der Softwarearchitektur und die Bewertung von Sicherheitsbedrohungen.
• PyTM: Dieses Python-basierte Framework für die Bedrohungsmodellierung ermöglicht es Benutzern, Systeme und ihre potenziellen Bedrohungen programmatisch zu definieren, wodurch es einfach ist, bestehende Entwicklungsworkflows zu automatisieren und zu integrieren.
• ThreatSpec: Dieses Infrastructure-as-Code-Bedrohungsmodellierungstool erhöht die Sicherheit, indem es es Benutzern ermöglicht, Sicherheitsrisiken direkt innerhalb ihres Codes zu definieren und zu analysieren, wodurch die Identifizierung von Schwachstellen in Cloud- und lokalen Umgebungen optimiert wird.

Vorteile der Verwendung des STRIDE-Bedrohungsmodells

Im Bankensektor wird das STRIDE-Modell eingesetzt, um potenzielle Bedrohungen für Online-Banking-Anwendungen zu erkennen. Durch die Kategorisierung von Bedrohungen wie Spoofing und Informationsoffenlegung können Banken Maßnahmen wie Multi-Faktor-Authentifizierung und Verschlüsselung zum Schutz von Kundendaten implementieren. In ähnlicher Weise nutzen Krankenhäuser in der Gesundheitsbranche das STRIDE-Framework, um Patientendaten zu schützen, die in elektronischen Patientenakten (EHRs) gespeichert sind. Diese Bedrohungsmodellierung hilft dabei, Datenübertragungskanäle zu sichern und stellt sicher, dass nur autorisiertes Personal auf sensible Informationen zugreifen kann. Cloud-Serviceprovider nutzen STRIDE auch, um Bedrohungen in mandantenfähigen Umgebungen zu bewerten und Risiken wie Manipulation und Erhöhung der Zugriffsrechte zu erkennen. Dadurch können sie strenge Zugriffskontrollen und Verschlüsselung implementieren, um Kundendaten effektiv zu isolieren.

Das STRIDE-Bedrohungsmodell bietet mehrere Vorteile für die Softwareentwicklung und Cybersicherheit, darunter:

• Proaktive Sicherheit: Die frühzeitige Erkennung von Bedrohungen im SDLC ermöglicht die Integration von Sicherheitsmaßnahmen vor der Bereitstellung, wodurch die Wahrscheinlichkeit verringert wird, dass Schwachstellen in der Produktion ausgenutzt werden.
• Umfassende Risikobewertung: Die sechs Bedrohungskategorien decken verschiedene Aspekte der Sicherheit ab und stellen eine ganzheitliche Bewertung der Sicherheitslage der Software sicher.
• Verbessertes Sicherheitsbewusstsein: Durch die Verwendung von STRIDE erhalten Entwicklungsteams ein tieferes Verständnis potenzieller Risiken und fördern eine sicherheitsorientierte Kultur innerhalb des Unternehmens.
• Kosteneffiziente Minderung: Die Behebung von Sicherheitsproblemen während der Designphase ist in der Regel kostengünstiger als die Behebung von Schwachstellen nach der Implementierung. STRIDE ermöglicht es Unternehmen, frühzeitig effektive Gegenmaßnahmen zu implementieren und so Zeit und Ressourcen zu sparen.
• Verbesserte Einhaltung gesetzlicher Vorschriften: In Branchen, in denen die strenge Einhaltung von Datenschutzgesetzen und -standards (z. B. DSGVO, HIPAA) erforderlich ist, kann die Verwendung von STRIDE dabei helfen, ein Engagement für Sicherheit und Risikomanagement zu demonstrieren.

Fazit

Bedrohungsmodellierung, eine Untergruppe der Bedrohungserkennung, hilft Sicherheitsteams, mit der zunehmenden Menge und Raffinesse von Angriffen Schritt zu halten. Da Systeme immer komplexer werden und Bedrohungen immer komplexer werden, wird der strukturierte Ansatz von STRIDE immer wertvoller. Unternehmen müssen ihre Implementierung von STRIDE anpassen, um aufkommende Bedrohungen zu bekämpfen und gleichzeitig die Grundprinzipien der systematischen Bedrohungserkennung und -minderung beizubehalten. Durch das Verständnis und die ordnungsgemäße Implementierung von STRIDE können Unternehmen ihre Vermögenswerte besser schützen, das Vertrauen der Kunden aufrechterhalten und die Geschäftskontinuität in einer zunehmend feindseligen digitalen Landschaft sicherstellen.

Dank seiner Evergreen®-Architektur bietet Pure Storage mit ActiveDR™, ActiveCluster™ und SafeMode™ Snapshots sicherheitsorientierte Computing- und Storage-Lösungen, um nur einige zu nennen. Diese Lösungen helfen bei der ordnungsgemäßen Implementierung von Sicherheits-Frameworks wie STRIDE und bieten die zugrunde liegende Technologie, um sicherzustellen, dass die vom Modell definierten Praktiken effektiv und erfolgreich sind.