Wat is het STRIDE-dreigingsmodel?

Recente belangrijke beveiligingsinbreuken hebben aangetoond dat reactieve beveiligingsmaatregelen niet voldoende zijn. Een goede bedreigingsmodellering zou sommige van deze inbreuken kunnen hebben voorkomen. Het STRIDE-bedreigingsmodel, ontwikkeld door Microsoft, is uitgegroeid tot een van de meest effectieve kaders voor proactieve beveiligingsplanning. Het acroniem STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service (DoS) en Elevation of Privilege) is een systematische benadering van beveiliging die ontwikkelingsteams helpt te denken als aanvallers om hun systemen te beschermen voordat inbreuken plaatsvinden.

De 6 categorieën van STRIDE

Het STRIDE-model categoriseert bedreigingen in zes soorten, elk met een ander aspect van softwarebeveiligingsrisico's:

• Spoofing: Zie spoofing als digitale identiteitsdiefstal. Het verwijst naar het zich voordoen als een andere gebruiker of systeemcomponent om onbevoegde toegang te krijgen. Spoofing-aanvallen brengen authenticatiemechanismen in gevaar, waardoor aanvallers zich kunnen voordoen als legitieme gebruikers of apparaten.

• Sabotage: Sabotage is de ongeoorloofde wijziging van data of code. Dergelijke aanvallen kunnen de data-integriteit in gevaar brengen door bestanden, databases, softwarecode, implementatiepijplijnen of geheugen bij het draaien van applicaties aan te passen. Knoeien brengt ernstige risico's met zich mee in elk systeem, met name in die systemen waar de nauwkeurigheid van data cruciaal is voor de besluitvorming.

• Weigering: Weerleggingsdreigingen maken gebruik van hiaten in de verantwoordelijkheid. Dit type veiligheidsbedreiging doet zich voor wanneer een gebruiker of systeem een bepaalde actie, zoals een transactie, weigert uit te voeren. Deze bedreiging maakt gebruik van een gebrek aan onweerlegbare controles in softwaresystemen, waardoor het moeilijk is om partijen verantwoordelijk te houden voor hun acties.

• Openbaarmaking van informatie: Dit verwijst naar de onbedoelde blootstelling van vertrouwelijke of gevoelige informatie aan onbevoegde partijen. Het kan het gevolg zijn van ontoereikende encryptie, onjuiste toegangscontroles of kwetsbaarheden in webapplicaties.

• Denial of Service (DoS): Deze categorie veiligheidsbedreigingen heeft tot doel de beschikbaarheid van diensten te verstoren door het systeem te overweldigen met buitensporige verzoeken of systeemkwetsbaarheden te exploiteren. DoS-aanvallen maken systemen onbeschikbaar voor legitieme gebruikers en veroorzaken bedrijfsonderbrekingen.

• Verhoging van het recht: Dit gebeurt wanneer een aanvaller toegang krijgt op een hoger niveau dan bedoeld, vaak door een kwetsbaarheid van het systeem te benutten. Dit kan leiden tot controle op administratief niveau over een systeem, waardoor de aanvaller kwaadaardige software kan installeren, systeemconfiguraties kan wijzigen of toegang kan krijgen tot gevoelige data.

Spoofing

Spoofing is het zich voordoen als een ander apparaat of een andere gebruiker om systemen of personen te misleiden. Hierbij kan het gaan om het vervalsen van identiteitsinformatie, zoals IP-adressen of e-mailheaders. De bedreiging van spoofing is aanzienlijk, omdat het kan leiden tot onbevoegde toegang, datalekken en manipulatie van informatie. Wanneer aanvallers met succes identiteiten vervalsen, kunnen ze eenvoudig beveiligingsmaatregelen omzeilen die zijn ontworpen om gevoelige systemen te beschermen. Veelvoorkomende voorbeelden van spoofing-aanvallen zijn e-mailspoofing, waarbij aanvallers berichten verzenden die afkomstig lijken te zijn van een vertrouwde bron, en IP-spoofing, waardoor kwaadwillende gebruikers de detectie kunnen omzeilen. De potentiële impact van deze aanvallen kan variëren van financieel verlies en reputatieschade tot gecompromitteerde persoonsgegevens.

Sabotage

Sabotage verwijst naar de ongeoorloofde wijziging van data of systeemconfiguraties, waaronder het wijzigen van bestanden, het wijzigen van softwarecode of het verstoren van data tijdens het transport. Deze handeling ondermijnt de integriteit van softwaresystemen en introduceert onjuiste of kwaadaardige data die kunnen leiden tot foutief systeemgedrag of -beslissingen. Dergelijke wijzigingen tasten het vertrouwen van de gebruiker aan en kunnen in strijd zijn met de nalevingsvoorschriften. Een voorbeeld van manipulatie is wanneer een aanvaller de inhoud van een software-update wijzigt of transactierecords in een database manipuleert. De gevolgen van deze aanvallen kunnen ernstig zijn, wat leidt tot financiële verliezen, juridische gevolgen en aanzienlijke schade aan de reputatie van een merk.

Weigering

Bij cybersecurity beschrijft de onweerlegbaarheid het vermogen van een gebruiker om te weigeren een actie binnen een systeem uit te voeren, vaak als gevolg van een gebrek aan betrouwbaar bewijs of logboeken. Dit brengt uitdagingen met zich mee voor verantwoordelijkheid en onweerlegbaarheid, waardoor het moeilijk is om acties terug te voeren naar gebruikers.  Weigering kan bijzonder problematisch zijn in e-commerce, financiële of juridische systemen, waar transactielogboeken betrouwbaar moeten zijn. Wanneer een gebruiker bijvoorbeeld beweert dat hij een transactie niet heeft geautoriseerd, kan het ontbreken van voldoende logboekregistratie het onderzoek en de handhaving van het beveiligingsbeleid belemmeren. De impact van dergelijke weerleggingsaanvallen kan leiden tot geschillen over transacties, grotere kansen op fraude en verzwakte beveiligingsprotocollen, die allemaal de algehele integriteit van een systeem in gevaar kunnen brengen.

Openbaarmaking van informatie

Openbaarmaking van informatie omvat de ongeoorloofde toegang tot of blootstelling van gevoelige gegevens aan personen of entiteiten die niet bedoeld zijn om deze te ontvangen. Deze onbevoegde toegang vormt een ernstige bedreiging, omdat het kan leiden tot identiteitsdiefstal, bedrijfsspionage en schendingen van privacyregelgeving. De vertrouwelijkheid van data wordt in gevaar gebracht, wat blijvende gevolgen kan hebben voor zowel individuen als organisaties. De openbaarmaking van informatie komt vaak tot uiting in zijkanaalaanvallen in Microservices, blootstelling aan verkeerde configuratie van de cloud, lekken van API-informatie en cache-timingaanvallen. Veelvoorkomende doelen van informatiebekendmaking zijn persoonsgegevens, handelsgeheimen en intellectueel eigendom, wat kan leiden tot boetes en reputatieschade.

Voorbeelden van aanvallen van openbaarmaking van informatie zijn datalekken die ertoe leiden dat gevoelige klantinformatie wordt gelekt, of verkeerd geconfigureerde cloudopslag die privégegevens blootstelt. De potentiële gevolgen zijn aanzienlijk, waaronder financiële verliezen, juridische aansprakelijkheden en een verwoestende klap voor het vertrouwen van de consument.

Serviceweigering

Denial of Service (DoS) verwijst naar een aanval gericht op het onbeschikbaar maken van een dienst voor de beoogde gebruikers door deze te overweldigen met verkeer of kwetsbaarheden uit te buiten. Dergelijke aanvallen verstoren de beschikbaarheid van softwaresystemen, waardoor ze ontoegankelijk zijn voor legitieme gebruikers. De gevolgen kunnen downtime, inkomstenverlies en schade aan de reputatie van een organisatie zijn. Een veelvoorkomend voorbeeld van een DoS-aanval is een DDoS-aanval (Distributed Denial of Service), waarbij meerdere systemen een doelserver overspoelen met verkeer. De impact van deze aanvallen kan aanzienlijk zijn, wat leidt tot operationele verstoringen en aanzienlijke financiële kosten die veel tijd kunnen kosten om van te herstellen.

Verhoging van het recht

Verhoging van privileges beschrijft een beveiligingskwetsbaarheid die een gebruiker in staat stelt onbevoegde toegang te krijgen tot functies of data op een hoger niveau binnen een systeem. Dit type toegang vormt een ernstige bedreiging, waardoor aanvallers gevoelige data kunnen manipuleren, administratieve commando's kunnen uitvoeren of de systeemintegriteit kunnen aantasten. Een privilege-aanval kan bijvoorbeeld bestaan uit het exploiteren van kwetsbaarheden in software om beheerdersrechten te verkrijgen of het gebruik van social engineering-tactieken om gebruikers te misleiden om verhoogde toegang te verlenen. De potentiële impact van dergelijke aanvallen kan diepgaand zijn, wat leidt tot datalekken, systeemcorruptie en uitgebreide schade aan de beveiliging van de organisatie, waardoor het voor organisaties essentieel is om prioriteit te geven aan effectieve beveiligingsmaatregelen.

STRIDE implementeren

We kunnen de implementatie van bedreigingsmodellering met STRIDE in de volgende fasen breed classificeren:

Fase 1: Systeemdecompositie

Splits de softwarearchitectuur op in verschillende componenten, zoals servers, databases, API's en gebruikersinterfaces. Dit helpt bij het lokaliseren van de toegangspunten en activa waarop bedreigingen zich kunnen richten.

1. Maak een dataflowdiagram (DFD) van uw systeem.
2. Identificeer vertrouwensgrenzen.
3. Breng systeemcomponenten en hun interacties in kaart.
4. Documenteer authenticatie- en autorisatiepunten.

Fase 2: Bedreigingsanalyse

Analyseer voor elk geïdentificeerd onderdeel potentiële bedreigingen op basis van de STRIDE-categorieën. Onderzoek bijvoorbeeld of authenticatiemechanismen kwetsbaar zijn voor spoofing of dat dataopslagmethoden gevoelig kunnen zijn voor manipulatie.

Voor elk onderdeel:

1. Pas STRIDE-categorieën toe.
2. Gebruik bedreigingsbomen om aanvalsvectoren te identificeren.
3. Houd rekening met de bedrijfsimpact.
4. Aannames en afhankelijkheden documenteren.

Fase 3: Planning van mitigatie

Ontwikkel voor elke bedreiging bijbehorende beveiligingscontroles. Technieken kunnen bestaan uit het afdwingen van sterke authenticatie om spoofing te voorkomen, het gebruik van digitale handtekeningen om te beschermen tegen manipulatie, of het implementeren van tariefbeperking om te beschermen tegen DoS-aanvallen.

Creëer een beperkingsstrategie die het volgende omvat:

1. Technische controles
2. Procedurele waarborgen
3. Bewakingsvereisten
4. Incidentresponsprocedures

Moderne tools voor STRIDE-implementatie

Commerciële tools

• Microsoft Threat Modeling Tool: Met deze tool kunnen gebruikers visuele representaties van softwaresystemen creëren en bedreigingen identificeren op basis van het STRIDE-framework.
• IriusRisk: Deze tool biedt geautomatiseerde mogelijkheden voor bedreigingsmodellering en risicobeoordeling, waardoor integratie met bestaande ontwikkelingsworkflows mogelijk is.
• ThreatModeler: Deze cloud-native tool voor het modelleren van bedreigingen vergemakkelijkt de identificatie en beoordeling van veiligheidsbedreigingen in architectonische ontwerpen, waardoor samenwerking en integratie in ontwikkelingsprocessen mogelijk is.

Open source alternatieven

• OWASP Threat Dragon: Deze open-source tool voor bedreigingsmodellering ondersteunt het maken van diagrammen van softwarearchitectuur en het beoordelen van beveiligingsbedreigingen.
• PyTM: Dit op Python gebaseerde framework voor bedreigingsmodellering stelt gebruikers in staat om systemen en hun potentiële bedreigingen programmatisch te definiëren, waardoor het gemakkelijk is om te automatiseren en te integreren in bestaande ontwikkelingsworkflows.
• ThreatSpec: Deze infrastructure-as-code bedreigingsmodelleringstool verbetert de beveiliging door gebruikers in staat te stellen beveiligingsrisico's direct binnen hun code te definiëren en te analyseren, waardoor de identificatie van kwetsbaarheden in cloud- en on-premises-omgevingen wordt gestroomlijnd.

Voordelen van het gebruik van het STRIDE-dreigingsmodel

In de banksector wordt het STRIDE-model gebruikt om potentiële bedreigingen voor online bankapplicaties te identificeren. Door bedreigingen zoals spoofing en openbaarmaking van informatie te categoriseren, kunnen banken maatregelen implementeren zoals multi-factor authenticatie en encryptie om klantgegevens te beschermen. Evenzo maken ziekenhuizen in de gezondheidszorg gebruik van het STRIDE-framework om patiëntinformatie te beschermen die is opgeslagen in elektronische patiëntendossiers (EPD's). Deze bedreigingsmodellering helpt bij het beveiligen van datatransmissiekanalen en zorgt ervoor dat alleen bevoegd personeel toegang heeft tot gevoelige informatie. Cloudserviceproviders maken ook gebruik van STRIDE om bedreigingen in omgevingen met meerdere huurders te beoordelen, waarbij risico's zoals manipulatie en verhoging van privileges worden geïdentificeerd. Op deze manier kunnen ze strikte toegangscontroles en encryptie implementeren om klantdata effectief te isoleren.

Het STRIDE-bedreigingsmodel biedt verschillende voordelen voor softwareontwikkeling en cybersecurity, zoals:

• Proactieve beveiliging: Door bedreigingen vroeg in de SDLC te identificeren, kunnen beveiligingsmaatregelen worden geïntegreerd voordat ze worden geïmplementeerd, waardoor de kans op kwetsbaarheden in de productie wordt verminderd.
• Uitgebreide risicobeoordeling: De zes bedreigingscategorieën bestrijken verschillende aspecten van beveiliging, waardoor een holistische evaluatie van de beveiligingshouding van de software wordt gewaarborgd.
• Verbeterd beveiligingsbewustzijn: Door STRIDE te gebruiken, krijgen ontwikkelingsteams een dieper inzicht in potentiële risico's, waardoor een beveiligingsgerichte cultuur binnen de organisatie wordt bevorderd.
• Kostenefficiënte beperking: Het aanpakken van beveiligingsproblemen tijdens de ontwerpfase is doorgaans minder duur dan het oplossen van kwetsbaarheden na de implementatie. STRIDE stelt organisaties in staat om vroegtijdig effectieve tegenmaatregelen te implementeren, waardoor tijd en middelen worden bespaard.
• Verbeterde naleving van de regelgeving: Voor industrieën die strikte naleving van wetten en normen inzake databescherming vereisen (bijv. AVG, HIPAA), kan het gebruik van STRIDE helpen om een toewijding aan beveiliging en risicobeheer aan te tonen.

Conclusie

Bedreigingsmodellering, een subset van bedreigingsdetectie, helpt beveiligingsteams de toenemende hoeveelheid en verfijning van aanvallen bij te houden. Naarmate systemen complexer worden en bedreigingen geavanceerder, wordt de gestructureerde aanpak van STRIDE steeds waardevoller. Organisaties moeten hun implementatie van STRIDE aanpassen om opkomende bedreigingen aan te pakken en tegelijkertijd de kernprincipes van systematische identificatie en beperking van bedreigingen te handhaven. Door STRIDE te begrijpen en goed te implementeren, kunnen organisaties hun activa beter beschermen, het vertrouwen van de klant behouden en de bedrijfscontinuïteit in een steeds vijandiger digitaal landschap waarborgen.

Via de Evergreen®-architectuur biedt Pure Storage beveiligingsgerichte computer- en opslagoplossingen met ActiveDR™, ActiveCluster™ en SafeMode™ Snapshots, om er maar een paar te noemen. Deze oplossingen helpen bij de juiste implementatie van beveiligingsframeworks zoals STRIDE, waardoor de onderliggende technologie wordt geleverd om ervoor te zorgen dat de praktijken die door het model worden gedefinieerd, effectief en succesvol zijn.