Het Nederlands Cyber Security Centrum (NCSC) liet onderzoekers van KU Leuven uitzoeken hoe grote Nederlandse organisaties uit kritieke sectoren threat modeling in de praktijk toepassen tijdens software-ontwikkeltrajecten. Aanleiding van het onderzoek is het feit dat threat modeling als best practice geldt, maar nog weinig bekend is over het waar, hoe en hoe vaak het wordt toegepast.
De Nederlandse cybersecuritywaakhond maakt zich hard voor ’threat modeling’, het proces waarbij organisaties vroeg in de softwareontwikkelfase potentiële beveiligings- en privacydreigingen identificeren. Hoewel geen eenduidige definitie van threat modeling bestaat, leidt het tot meer zicht op de risico’s en meer bewustwording onder softwareontwikkelaars. De opvolging is een uitdaging. Dit blijkt uit recent onderzoek in opdracht van het NCSC.
Ontwikkelaars en securityteam
De belangrijkste betrokkenen bij een threat modeling-sessie zijn het ontwikkelteam en een aanjager vanuit het securityteam. Andere rollen, zoals testers, architecten en operationeel personeel, zijn meestal niet betrokken. Hun inbreng kan volgens de onderzoekers waardevol zijn. Bij software die wordt gekocht en geïntegreerd, vormen operationele teams vaak de belangrijkste belanghebbenden.
De sessies beginnen doorgaans met een introductie van threat modeling door de aanjager. Daarna volgt het modelleren van het systeem, variërend van whiteboardtekeningen tot gestructureerde notaties zoals datastroomdiagrammen. Na de sessie wordt een rapport opgesteld en verspreid onder de belanghebbenden. Hoewel zelden aanvallen concreet worden voorkomen, melden deelnemers een aanzienlijke toename in beveiligingsbewustzijn.
Uitdagingen
Het opvolgen van de resultaten blijkt een uitdaging. Meestal gebeurt dit ad hoc, tenzij kritieke problemen aan het licht komen. De uitdaging zit hem vaak in de timing, de training, het creëren van modellen, de risico-inschatting en de mogelijkheid tot opvolging. Vaak beseffen product owners en het management onvoldoende van de voordelen van threat modeling. Dit resulteert in minder tijd die ontwikkelteams aan dit proces besteden en een beperkte capaciteit van beveiligingsteams om de ontwikkelteams te ondersteunen.
Daarnaast worstelen veel organisaties bij threat modeling met de reikwijdte van projecten, verkrijging van relevante documentatie, opschaling van activiteiten naar meerdere teams, en systematische opvolging van de resultaten. Volgens het NCSC biedt het onderzoek organisaties aanknopingspunten om hun huidige activiteiten rondom bedreigingsmodellering te beoordelen en te optimaliseren.