Die Konferenz für
sichere Software- und Webentwicklung
Heidelberg, Print Media Academy, 24. bis 27. September 2018

heise devSec 2018 » Programm »

// Threat Modeling als Kompass durch moderne Softwarearchitekturen

Der Trend moderner Softwarearchitekturen zeigt einen signifikant erhöhten Verteilungsgrad im Vergleich zu herkömmlichen monolithischen On-Premises-Anwendungen. Die Zutaten sind Cloud-Plattformen, CDNs, SaaS, Libs und oben drauf eine große Portion Microservices. Wer in diesem Technologie-Brei nichts anbrennen lassen will, kann sich mit einem herkömmlichen Hausmittel behelfen: Threat Modeling.

Der Vortrag untersucht die vermeintlichen Trends auf ihre Implikationen hinsichtlich Anwendungs-, Daten- und Kommunikationssicherheit, beschreibt die daraus resultierenden Empfehlungen wie Zero Trust Architectures und Identity as the new Perimeter und ordnet sie in bekannte Best Practices ein.

Vorkenntnisse
* Die Besucher sollten mit modernen Softwarearchitekturen vertraut sein und die entsprechenden Begriffe kennen. Sie sollten die technischen Eigenschaften von Microservices grundsätzlich verstanden haben.
* Außerdem wird Grundlagenwissen zum Thema Security vorausgesetzt.
* Praktische Erfahrung bei der Implementierung sicherer Software inklusive Threat Modeling ist hilfreich aber nicht zwingend.

Lernziele
Dieser Beitrag verfolgt das Ziel, die Teilnehmer bei der Bedrohungsanalyse auch in bisher ungewohnten Softwarearchitekturen zu unterstützen. Wir wollen die Angst vor scheinbar unüberschaubaren Anwendungslandschaften nehmen und Vertrauen in etablierte Verfahren zur Selbsthilfe schaffen. Wir stehen selbst regelmäßig vor der Aufgabe, uns in die von Kunden und Architekten vorgegebenen Architekturen hineinzudenken und dafür angepasste Bedrohungsszenarien zu entwickeln. Die Ergebnisse dieser Analysen helfen nicht nur bei der zielgerichteten Etablierung von Gegenmaßnahmen, sondern – und auch das soll ein Lernziel sein – bei der Schaffung von Awareness im gesamten Team vom Entwicklern, Business Analysten, Projektleitern und Management. Diese Awareness erleichtert die Kommunikation und schwört das Team auf ein gemeinsames Ziel ein.

// Bastian Braun Bastian Braun

arbeitet als Senior Consultant IT Security bei mgm security partners. Er unterstützt Entwickler-Teams bei der Integration von IT-Sicherheit, gibt Seminare für Entwickler, Projektleiter, Entscheidungsträger und Penetrationstester und führt Produkt- und Sicherheitsanalysen durch. Bastian ist Mitglied des deutschen OWASP Boards und regelmäßiger Sprecher auf einschlägigen Konferenzen.