Threat Modelling - ein praktischer Einstieg


Dieser Online-Workshop findet am 23. Mai, 9:00-16:30 Uhr, statt.

Threat Modeling hilft Gefahren für die Software- und Systemlandschaft, Prozesse und die Organisation schon frühzeitig zu erkennen, und somit passende Gegenmaßnahmen rechtzeitig zu entwicklen. Threat Modeling sollte demzufolge ein normaler Bestandteil des Software Development Lifecycles sein.

In der Praxis indessen ist dies oft alles andere als der Normalfall. Ein Hauptgrund dafür ist mangelndes Wissen der beteiligten Stakeholder: Projekt-Manager:innen, Product-Owner:innen, Adminstrator:innen, Software-Entwickler:innen und Software-Architekt:innen. Oft bedingt durch die immer noch häufig in Organisationen vorherrschende Trennung von Security, Softwareentwicklung und Betrieb.

In diesem Workshop wollen wir diese Wissenslücke schließen. In praktischen Übungen spielen die Teilnehmer:innen Threat Modeling an einem fiktiven Beispiel durch. Von Finden und Identifizieren der Assets über die Aufstellung von Attack-Trees bis hin zur Erstellung der passenden Mitigations-Strategien.

Vorkenntnisse

Die Teilnehmer:innen sollten Grundkenntnisse in Software-Architektur und Entwicklung mitbringen. Vorerfahrungen mit größeren Systemlandschaften sind von Vorteil, aber nicht zwingend notwendig.

Lernziele

Im Workshop sollten die Teilnehmer:innen praktisch lernen:

  • wie Threat-Modeling grundsätzlich funktioniert
  • wie sie niederschwellig und ohne große Hürden selbst damit anfangen können
  • wie sie passende Gegenmaßnahmen daraus ableiten können
  • welche Konsequenzen sich daraus für ihre Software-Architektur und ihr Software-Design ergeben
  • wie sie Threat Modeling in ihren Software Development Lifecycle einbauen können

Technische Anforderungen

Der Workshop erfolgt mit Hilfe von Zoom und Miro. Diese können über aktuelle Browser (z. B. Firefox oder Chrome) oder über die kostenfrei herunterladbaren Desktop-Clients genutzt werden.

Teilnehmer:innen die sich während des Workshops in einem Firmen-Netzwerk befinden, oder einen gemanageten Rechner benutzen, sollten vorher sicherstellen, dass Zoom und Miro bei ihnen nicht gesperrt ist

Speaker

 

Christoph Iserlohn
Christoph Iserlohn ist Senior Consultant bei INNOQ. Er hat langjährige Erfahrung mit der Entwicklung und Architektur von verteilten Systemen. Sein Hauptaugenmerk liegt dabei auf den Themen Skalierbarkeit, Verfügbarkeit und Sicherheit.

Dimitrij Drus
Dimitrij Drus arbeitet als Senior Consultant bei INNOQ. Seit vielen Jahren beschäftigt er sich mit Architektur und Entwicklung von verteilten und eingebetteten Systemen mit den Schwerpunkten Sicherheit und Verfügbarkeit

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden