Einbettung von automatisiertem Threat Modelling ins Risikomanagement
In Kooperation mit der DB Systel
Motivation
Im Unternehmenskontext des Teams Application Security Specialists der DB Systel soll im Rahmen des dort implementierten Software Development Lifecycle (SDLC) sowie des zugehörigen Information Security Management System (ISMS) ein Thread Modelling weitgehend automatisiert und eingebettet werden.
Hierbei soll die Lösung sowohl das agile Vorgehen im SDLC berücksichtigen sowie einen Mehrwert und eine Arbeitserleichterung für die verschiedenen Stakeholder (Development-Team, Product Owner, Security Architect, CISO) bieten.
Ziel
Das Ziel der Arbeit ist die Erarbeitung eines Vorgehensmodells zur Aufbereitung von technischen Risiken aus einem Thread Modelling Prozess für das Risikomanagement gemäß eines Information Security Management System (ISMS). Hierbei soll aus technischer Sicht eine Export- und Report-Schnittstelle aus Basis von IriusRisk als Web Service implementiert werden.
Aufgaben
- Recherche:
- Wie kann kontinuierliches Threat Modeling in einem agilen Entwicklungsprozess realisiert werden?
- Wie kann Risiko Management gemäß ISMS realisiert werden?
- Erarbeitung eines Vorgehensmodells zur Aggregation von technischen Risiken aus dem Thread Modeling für ein Risiko Management gemäß ISMS
- Basis von IriusRisk: Design, Implementierung und Test einer Export- und Report-Schnittstelle
- Evaluation des Tool-gestützten Vorgehensmodells hinsichtlich Usability, Effizienz, Effektivität und Wirkungsgrad
Voraussetzungen
- Grundkenntnisse in IT-Sicherheit und sicherer Software-Entwicklung
- Programmierkenntnisse
- Docker-Kenntnisse sind von Vorteil
- Spaß an Literaturarbeit und theoretischen Konzepten
Literatur (Einstieg)
- Izar Tarandach and Matthew J. Coles: “Threat Modeling: A Practical Guide for Development Teams”. O’Reilly Media, Inc. (November 2020), ISBN: 9781492056553
- Continuous Threat Modeling Handbook, via GitHub
- Scott, F. “Introduction to the Open Threat Model standard”, 2022, IrusRisk Blog
- Open Threat Modeling Format (OTM), via GitHub
Start
- nach Absprache
Diese Arbeit wird in Kooperation mit dem Team Application Security Specialists der DB Systel in Frankfurt/M durchgeführt.
Weitere Informationen und Kontakt