Threat Modeling ist kein neues Konzept. Doch viele Teams stellen sich die Frage, wie Bedrohungen systematisch identifiziert werden können, ohne sich in Details zu verlieren. Genau hier setzt STRIDE an.
Das Modell wurde Ende der 1990er-Jahre entwickelt und Anfang der 2000er in einem großen Softwareunternehmen breit eingesetzt.
Seitdem bildet es die Grundlage zahlreicher weiterer Threat-Modeling-Ansätze.
Trotz seines Alters ist es bis heute relevant.
STRIDE ist keine komplexe Methodik mit umfangreichen Formalismen. Es ist eine strukturierte Technik zur systematischen Generierung von Bedrohungen.
STRIDE steht für sechs grundlegende Bedrohungskategorien:
Jede dieser Kategorien adressiert ein konkretes Sicherheitsziel.
Spoofing betrifft die Authentizität.
Tampering die Integrität.
Repudiation die Nichtabstreitbarkeit.
Information Disclosure die Vertraulichkeit.
Denial of Service die Verfügbarkeit.
Elevation of Privilege die Autorisierung.
Damit lässt sich STRIDE direkt mit klassischen Schutzzielen wie dem CIA-Modell verbinden, erweitert um zusätzliche sicherheitsrelevante Eigenschaften.
Oft wird STRIDE als Klassifikationsschema verstanden. Das greift zu kurz.
STRIDE dient nicht dazu, Bedrohungen taxonomisch einzuordnen. Es ist eine Enumerationsmethode.
Das bedeutet:
Ein Systemelement oder eine Interaktion wird betrachtet. Für jede der sechs Kategorien wird geprüft, ob eine entsprechende Bedrohung denkbar ist. Die identifizierten Risiken werden dokumentiert und weiter analysiert. Der Fokus liegt auf systematischer Ideengenerierung. Nicht auf formaler Einordnung.
Spoofing beschreibt das Vortäuschen einer Identität. Beispielsweise durch gestohlene Zugangsdaten oder manipulierte Tokens. Das Ergebnis kann unbefugter Zugriff auf Systeme oder Daten sein.
Tampering bezeichnet die Manipulation von Daten oder Code. Das kann über Schwachstellen oder kompromittierte Komponenten erfolgen. Betroffen ist primär die Integrität des Systems.
Repudiation bedeutet das Abstreiten einer durchgeführten Aktion. Fehlen belastbare Protokollierungsmechanismen, ist Nachvollziehbarkeit nicht gewährleistet.
Information Disclosure steht für den unbefugten Zugriff auf sensible Informationen. Ursachen sind häufig Fehlkonfigurationen oder unzureichend geschützte Schnittstellen.
Denial of Service zielt auf die Verfügbarkeit ab. Durch Überlastung oder gezielte Angriffe wird ein Dienst ganz oder teilweise unbrauchbar.
Elevation of Privilege beschreibt die unzulässige Ausweitung von Berechtigungen. Ein Angreifer verschafft sich höhere Rechte als vorgesehen.
In der Praxis wird STRIDE meist auf Architekturartefakte wie Datenflussdiagramme angewendet. Dabei gibt es zwei gängige Perspektiven:
Beim STRIDE-per-Element-Ansatz werden einzelne Systemkomponenten wie Prozesse, Datenflüsse oder Datenspeicher betrachtet und systematisch entlang der sechs Kategorien analysiert.
Beim STRIDE-per-Interaction-Ansatz stehen die Interaktionen zwischen Komponenten im Mittelpunkt. Für jede Beziehung zwischen Quelle, Ziel und Interaktion wird geprüft, welche STRIDE-Bedrohungen relevant sind.
Beide Varianten verfolgen dasselbe Ziel:
Bedrohungen strukturiert und nachvollziehbar zu identifizieren - entweder komponentenbasiert oder schnittstellenorientiert.
STRIDE ist eine bewährte Methode zur systematischen Identifikation von Bedrohungen. Es ist kein Klassifikationsschema, sondern eine strukturierte Technik zur Generierung von Risiken. Wer ein System entlang der sechs Kategorien analysiert, erhält eine nachvollziehbare und reproduzierbare Bedrohungsübersicht.
Adam Shostack. Threat Modeling: Designing for Security. Wiley, Indianapolis, IN, 2014.
Wenjun Xiong and Robert Lagerström. Threat modeling – A systematic literature review. Computers & Security, 84:53–69, July 2019.
Möchtest du mehr über diese Inhalte Erfahren? Dann melde dich gerne bei mir!