Evaluation of Threat Modeling Methodologies
Selin, Juuso (2019)
Selin, Juuso
2019
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2019060615264
https://urn.fi/URN:NBN:fi:amk-2019060615264
Tiivistelmä
An interconnected world with an increasing number of systems, products and services relying on the availability, confidentiality, and integrity of sensitive information is vulnerable to attacks and incidents. Unfortunately, the threat landscape expands and new threats, threat agents and attack vectors emerge at all times. Defending against these threats requires that organizations are aware of such threats and threat agents. Threat modeling can be used as part of security risk analysis to systematically iterate over possible threat scenarios.
The focus of the research was on existing threat modeling frameworks and methodologies. Different frameworks were studied in order to discover if any complete and mature enough methodology exists or how the different methods can be combined if necessary. A literature review was used as the primary research method and several different threat modeling methods were studied and summarized. The data gathered from the literature review was verified using a case study consisting of twelve interviews focusing on different threats and threat agents against a system.
The analysis of the responses revealed that there is no comprehensive or complete enough threat modeling methodology available since threat modeling needs are specific to each project and its requirements. While the studied frameworks focus on different topics, e.g. software development, privacy or threat agents, these methods can be combined to cover all the needed aspects. This, however, requires vast knowledge about the different methods available as well as their strengths and weaknesses. This research aims to provide common steps that an organization can take to start modeling threats and give suggestions where more information is available. Verkottotuneessa maailmassa yhä useammat järjestelmät, tuotteet ja palvelut nojaavat arkaluontoisen tiedon saatavuuteen, luottamuksellisuuteen ja eheyteen. Tämä tekee näistä järjestelmistä, tuotteista ja palveluista haavoittuvia erilaisille hyökkäyksille ja vahingoille. Samaan aikaan uhkat monipuolistuvat, niiden määrä kasvaa ja uusia hyökkäysvektoreita ilmestyy jatkuvasti lisää. Suojautuminen näitä uhkia vastaan edellyttää, että organisaatiot osaavat tunnistaa kyseiset uhkat etukäteen. Uhkamallinnus on työkalu, jota voidaan käyttää riskienhallinnan apuna erilaisten uhkien tunnistamiseen.
Opinnäytetyö keskittyy olemassa oleviin uhkamallinnusmetodeihin ja -viitekehyksiin. Erilai-sia uhkamallinnustekniikoita läpi käymällä yritettiin löytää metodeja, jotka ovat riittävän monipuolisia ja kattavia vastaamaan erilaisia tarpeita joko yksin tai useita eri metodeja yhdistelemällä. Kirjallisuuskatsauksella kerättiin ensisijainen tutkimusdata, joka vahvistettiin tapaustutkimuksen avulla. Tapaustutkimuksessa käytettiin olemassa olevaa järjestelmää, johon liittyviä uhkia tunnistettiin haastattelujen avulla.
Tuloksia analysoimalla todettiin, että yhtä kaiken kattavaa ja riittävän monipuolista uhkamallinnusmetodia ei ole olemassa, koska tarpeet vaihtelevat huomattavasti ja ovat sidoksissa tiivisti tiettyyn projektiin. Tutkitut menetelmät on kehitetty tiettyyn tarpeeseen, esimerkiksi ohjelmistokehitykseen tai yksityisyyteen liittyvien uhkien tai erilaisten hyökkääjien ja hyökkäystapojen tunnistamiseen. Kuitenkin näitä menetelmiä yhdistelemällä on mahdollista vastata monimutkaisiinkin tarpeisiin, mutta yhdisteleminen vaatii laaja-alaista ymmärrystä eri menetelmistä sekä niiden vahvuuksista ja heikkouksista. Tutkimuksen tavoitteena onkin tarjota yleisiä ohjeita, joiden avulla uhkamallinnuksen voi ottaa organisaatiossa käyttöön sekä viitoittaa lähteitä, joista kiinnostuneet saavat lisätietoa.
The focus of the research was on existing threat modeling frameworks and methodologies. Different frameworks were studied in order to discover if any complete and mature enough methodology exists or how the different methods can be combined if necessary. A literature review was used as the primary research method and several different threat modeling methods were studied and summarized. The data gathered from the literature review was verified using a case study consisting of twelve interviews focusing on different threats and threat agents against a system.
The analysis of the responses revealed that there is no comprehensive or complete enough threat modeling methodology available since threat modeling needs are specific to each project and its requirements. While the studied frameworks focus on different topics, e.g. software development, privacy or threat agents, these methods can be combined to cover all the needed aspects. This, however, requires vast knowledge about the different methods available as well as their strengths and weaknesses. This research aims to provide common steps that an organization can take to start modeling threats and give suggestions where more information is available.
Opinnäytetyö keskittyy olemassa oleviin uhkamallinnusmetodeihin ja -viitekehyksiin. Erilai-sia uhkamallinnustekniikoita läpi käymällä yritettiin löytää metodeja, jotka ovat riittävän monipuolisia ja kattavia vastaamaan erilaisia tarpeita joko yksin tai useita eri metodeja yhdistelemällä. Kirjallisuuskatsauksella kerättiin ensisijainen tutkimusdata, joka vahvistettiin tapaustutkimuksen avulla. Tapaustutkimuksessa käytettiin olemassa olevaa järjestelmää, johon liittyviä uhkia tunnistettiin haastattelujen avulla.
Tuloksia analysoimalla todettiin, että yhtä kaiken kattavaa ja riittävän monipuolista uhkamallinnusmetodia ei ole olemassa, koska tarpeet vaihtelevat huomattavasti ja ovat sidoksissa tiivisti tiettyyn projektiin. Tutkitut menetelmät on kehitetty tiettyyn tarpeeseen, esimerkiksi ohjelmistokehitykseen tai yksityisyyteen liittyvien uhkien tai erilaisten hyökkääjien ja hyökkäystapojen tunnistamiseen. Kuitenkin näitä menetelmiä yhdistelemällä on mahdollista vastata monimutkaisiinkin tarpeisiin, mutta yhdisteleminen vaatii laaja-alaista ymmärrystä eri menetelmistä sekä niiden vahvuuksista ja heikkouksista. Tutkimuksen tavoitteena onkin tarjota yleisiä ohjeita, joiden avulla uhkamallinnuksen voi ottaa organisaatiossa käyttöön sekä viitoittaa lähteitä, joista kiinnostuneet saavat lisätietoa.