Guide de modélisation des menaces
Qu’est-ce que la modélisation des menaces ?
Les cyberattaques prennent de nombreuses formes et il peut parfois être difficile de se défendre contre ces attaques. Nous nous préoccupons de la sécurité nationale du cyberespace, de la sécurité des réseaux, de la sécurité des applications, de la sécurité des données et de tout le reste. Ce qui complique la tâche du professionnel de la sécurité, c'est que l'attaquant peut s'introduire de mille et une manières et que chaque point d'entrée potentiel doit être sécurisé. Les attaquants peuvent frapper n’importe où et les défenseurs doivent se défendre partout. Avant que chaque point d’entrée possible puisse être sécurisé et que les vecteurs d’attaque puissent être traités, ils doivent d’abord être identifiés, et c’est là que la modélisation des threads entre en jeu.
La modélisation des menaces permet d'identifier, d'énumérer, de classer et d'atténuer les menaces potentielles. Il s'agit d'une approche proactive utilisée pour comprendre comment différentes menaces et attaques pourraient être réalisées. L'objectif de la modélisation des menaces est de fournir aux équipes de sécurité une analyse systématique des contre-mesures à mettre en œuvre, compte tenu de la nature de l'actif, des vecteurs d'attaque les plus probables et des actifs les plus recherchés par un attaquant. La modélisation des menaces répond à des questions telles que « Où suis-je le plus vulnérable aux attaques ? », « Quelles menaces, si elles sont mises en œuvre, pourraient avoir un impact plus important ? » et « Quelles contre-mesures sont nécessaires pour se protéger contre ces menaces ? ».
Pourquoi la modélisation des menaces est-elle importante ?
La nature dynamique des cyberattaques rend la modélisation des menaces fondamentale pour la sécurité. Les aspects attaque et défense de la sécurité évoluent constamment. Pour répondre de manière appropriée à ce changement, les organisations doivent réévaluer et faire évoluer continuellement leurs défenses. De plus, les applications ou les systèmes doivent être conçus pour résister aux attaques. Toutefois, la mise en place des contrôles de sécurité appropriés nécessaires pour parvenir à la résilience entraîne certaines implications financières.
Le principe fondamental qui sous-tend la modélisation des menaces est que les ressources consacrées à la sécurité sont toujours limitées, ce qui rend difficile l'atténuation de chaque menace au sein d'un système. Il est donc nécessaire de déterminer comment utiliser efficacement ces ressources limitées. Les organisations doivent prioriser les risques et les traiter en conséquence. Un facteur critique dans la détermination du risque est la menace. La modélisation des menaces aide les organisations à identifier systématiquement les scénarios de menaces pertinents pour le système afin de mettre en œuvre des contre-mesures efficaces pour les protéger. C'est pourquoi la modélisation des menaces est essentielle. Il aide les équipes de sécurité à comprendre en quoi les systèmes peuvent être vulnérables et quels correctifs de contrôle sont nécessaires pour hiérarchiser les correctifs en fonction de la gravité et de l'impact des menaces anticipées.
Comment la modélisation des menaces s'intègre dans l'évaluation des risques
L'évaluation des risques identifie les risques de sécurité en analysant les actifs, les menaces et les vulnérabilités, y compris leur gravité et la probabilité qu'ils se produisent. D’un autre côté, la modélisation des menaces permet de se concentrer davantage sur les actifs et d’identifier les menaces potentielles et les vecteurs d’attaque qui pourraient exploiter les vulnérabilités découvertes sur ces actifs et leurs composants lors de l’évaluation des risques. En outre, il examine qui serait le plus susceptible de vouloir attaquer l’actif et comment il pourrait y parvenir.
La modélisation des menaces est en fait une forme d’évaluation des risques qui modélise les aspects des aspects attaque et défense d’un système ou de ses composants. Il augmente le processus d'évaluation des risques en générant des événements de menace contextualisés avec une séquence bien décrite d'actions, d'activités et de scénarios que l'attaquant peut entreprendre pour compromettre l'actif ou le système. Cela aide les équipes de sécurité à proposer des contrôles et des contre-mesures plus ciblés. Le diagramme ci-dessous montre comment la modélisation des menaces et l’évaluation des risques s’articulent.
Composants d'un processus de modélisation des menaces
Différentes approches ou méthodologies sont utilisées pour la modélisation des menaces ; nous en discuterons dans la section suivante. Cependant, toutes ces méthodologies ont des processus ou un flux logique qu’elles partagent en commun. Examinons maintenant ces flux logiques de base :
Établir l'équipe et la portée du projet : L'équipe de modélisation des menaces doit être aussi hétérogène que possible pour garantir un modèle de menace plus complet. Il doit inclure les principales parties prenantes telles que les cadres supérieurs, les ingénieurs réseau, les développeurs et les responsables de la sécurité. Ensuite, définissez et décrivez l'étendue des travaux, y compris la portée technique, l'architecture du système, les composants du système, les périmètres de sécurité et les flux de données, avant d'effectuer une modélisation des menaces pour le système cible. Cela implique de collecter des informations et de délimiter le périmètre.
Décomposer le système ou l'application : La décomposition du système consiste à décomposer un système en ses différents composants. Cela implique d'identifier les composants du système, de dessiner la manière dont les données circulent et de diviser les limites de confiance. L'une des techniques de décomposition d'un système consiste à créer un diagramme de flux de données (DFD). Les DFD aident les utilisateurs à mieux comprendre le système en donnant une représentation visuelle qui illustre les flux de données dans le système et les actions que les utilisateurs peuvent effectuer dans un état du système. Certains modèles s'appuient sur des diagrammes de flux de processus (PFD) au lieu de DFD. Une fois complétée, la représentation visuelle est utilisée pour identifier et énumérer les menaces potentielles.
Identifiez les menaces probables : L'identification des menaces implique l'identification et la documentation des vecteurs et des événements de menace. Ensuite, pour toutes les cibles potentielles, déterminez où existent les dangers et utilisez des scénarios de menaces et des arbres d'attaque pour identifier les vulnérabilités possibles qui pourraient être exploitées. Des outils de modélisation des menaces peuvent également être utilisés pour automatiser cette étape.
Modélisation d'attaque : La modélisation des attaques décrit l'approche d'intrusion d'un attaquant afin que les utilisateurs puissent identifier les contrôles d'atténuation nécessaires pour défendre le système et prioriser sa mise en œuvre. Après avoir placé les événements de menace pertinents pour le système, associez-les à une éventuelle séquence d'attaques. Cela implique de cartographier la séquence des attaques, de décrire les tactiques, les techniques et les procédures, et de créer des scénarios de menace. Des frameworks d'attaque tels que MITRE ATT&CK ou Lockheed Martin Kill Chain peuvent être utilisés pour modéliser l'attaque.
Mettre en œuvre des mesures d'atténuation . En comprenant les vecteurs d'attaque et les risques de sécurité à différentes étapes, vous pouvez appliquer des contrôles et des contre-mesures appropriés pour atténuer les menaces ou les attaques possibles ou minimiser leur impact. Élaborer des stratégies pour contenir ces menaces. Cela implique généralement d'éviter le danger, de réduire l'effet négatif ou la probabilité de la menace, de transférer tout ou partie de la menace à une autre partie et même d'accepter tout ou partie des conséquences potentielles ou réelles d'une menace particulière. L’opposé de ces stratégies peut être utilisé pour répondre aux opportunités.
Cadres et méthodologies de modélisation des menaces
Il existe plusieurs méthodologies et cadres disponibles que vous pouvez utiliser pour effectuer une modélisation des menaces. Les méthodologies de modélisation des menaces peuvent être classées en fonction de l’orientation des approches. Ces approches incluent celles qui se concentrent sur les actifs du système modélisés par les menaces (centrée sur les actifs), celles qui se concentrent sur les attaquants (modélisation des menaces centrée sur l'attaque) et les approches qui se concentrent sur le logiciel ou le système (centrée sur le logiciel). ou modélisation des menaces centrée sur le système). Le choix des méthodes à déployer dépend du système ou des types de menaces modélisées et dans quel but. Vous trouverez ci-dessous quelques-unes des méthodologies de modélisation des menaces couramment utilisées aujourd’hui :
FOULÉE : Les ingénieurs de Microsoft ont développé la méthodologie STRIDE en 1999 pour guider la découverte de menaces dans un système. Il est utilisé conjointement avec un modèle du système cible qui peut être construit en parallèle. Cela inclut une ventilation complète des processus, des magasins de données, des flux de données et des limites de confiance. STRIDE est un acronyme désignant les types de menaces auxquelles il répond. Le tableau ci-dessous présente une répartition des différentes menaces gérées par STRIDE et des propriétés associées violées :
Usurpation | Authenticité | Faire semblant d'être quelque chose ou quelqu'un que vous n'êtes pas |
Falsification | Intégrité | Modification des données au sein d'un système pour atteindre un objectif malveillant. |
Répudiation | Non répudiable | Affirmer ne pas être responsable d'un acte |
Divulgation d'information | Confidentialité | Fuite d’informations protégées à des entités non autorisées. |
Déni de service (DoS) | Disponibilité | Épuiser ou refuser l’accès aux ressources nécessaires pour fournir le service |
Élévation de privilège | Autorisation | Permettre à quelqu'un de faire quelque chose pour lequel il n'est pas autorisé |
Tableau 1.0 | Menaces STRIDE et propriétés associées violées
OCTAVE: L'évaluation des menaces, des actifs et des vulnérabilités opérationnellement critiques (OCTAVE) est une méthodologie de modélisation des menaces centrée sur les actifs et les opérations, développée en 2003 à l'Université Carnegie Mellon pour aider les organisations à évaluer les risques non techniques pouvant résulter d'une violation de données. OCTAVE comprend les phases suivantes :
- Création de profils de menaces basés sur les actifs : évaluation organisationnelle.
- Identifier les vulnérabilités de l’infrastructure – évaluation de l’infrastructure de l’information
- Développer et planifier une stratégie de sécurité – évaluer les risques pour les actifs critiques de l’organisation et la prise de décision.
Avec OCTAVE, les actifs informationnels d’une organisation sont identifiés et les ensembles de données contiennent des attributs basés sur le type de données stockées. OCTAVE est particulièrement utile pour créer une culture d'entreprise consciente des risques. Cependant, il manque d’évolutivité.
Tricycle : Trike est un framework open source centré sur les actifs pour la modélisation des menaces et l'évaluation des risques.
Le projet a débuté en 2006 pour améliorer l'efficience et l'efficacité des méthodologies existantes de modélisation des menaces. Trike se concentre sur la satisfaction du processus d'audit de sécurité du point de vue de la gestion des cyber-risques. Le fondement de la méthodologie de modélisation des menaces de Trike est un « modèle d'exigences » qui garantit que le niveau de risque attribué à chaque actif est « acceptable » pour les différentes parties prenantes.
Les menaces sont identifiées en parcourant un diagramme de flux de données (DFD). Les menaces identifiées sont regroupées en deux catégories : déni de service ou élévation de privilèges. Le modèle de mise en œuvre est ensuite analysé pour produire un modèle de menace Trike.
PÂTES : Le processus de simulation d'attaque et d'analyse des menaces (PASTA) est une méthodologie en sept étapes centrée sur les attaques, conçue en 2015 pour aider les organisations à aligner les exigences techniques sur les objectifs commerciaux tout en tenant compte de l'analyse de l'impact commercial et des exigences de conformité. L’objectif de cette méthodologie est de fournir un processus dynamique d’identification, d’énumération et de notation des menaces. PASTA vise à guider les équipes pour identifier, compter et hiérarchiser les menaces de manière dynamique. La séquence globale est la suivante :
- Définir les objectifs commerciaux
- Définir le périmètre technique
- Décomposition des applications
- Analyse des menaces
- Analyse des vulnérabilités et des faiblesses
- Énumération et modélisation des attaques
- Analyse des risques et contre-mesures
Une fois le modèle de menace terminé, une analyse détaillée des menaces identifiées et des contrôles de sécurité appropriés peuvent être développés. La modélisation des menaces PASTA est idéale pour les organisations qui souhaitent s'aligner sur leurs objectifs stratégiques, car elle intègre l'analyse de l'impact commercial comme partie intégrante du processus.
Guide de modélisation des menaces du NIST : Le National Institute of Standards and Technology (NIST) des États-Unis a publié en 2016 son propre méthodologie de modélisation des menaces centrée sur les données qui se concentre sur la protection des données de grande valeur au sein des systèmes. Il modélise les aspects d’attaque et de défense pour des données sélectionnées. Dans ce modèle, l’analyse des risques est réalisée selon les quatre étapes importantes suivantes :
- Identifier et caractériser le système et les données d'intérêt
- Identifier et sélectionner les vecteurs d'attaque à inclure dans le modèle
- Caractériser les contrôles de sécurité pour atténuer les vecteurs d’attaque
- Analyser le modèle de menace
Le guide s'adresse aux responsables de la sécurité, aux ingénieurs/architectes de sécurité, aux administrateurs système, aux auditeurs et à tous les autres responsables de la sécurité des systèmes et des données. Selon les auteurs, « l’intention n’est pas de remplacer les méthodologies existantes, mais plutôt de définir les principes fondamentaux qui devraient faire partie de toute méthodologie solide de modélisation des menaces système centrée sur les données.
VASTE: La menace visuelle, agile et simple (VAST) est une méthodologie de modélisation hautement évolutive qui répond de manière unique aux préoccupations des développeurs et des équipes d'infrastructure. L'automatisation, l'intégration et la collaboration sont essentielles à la modélisation des menaces VAST. VAST est construit autour Modeleur de menaces —un outil automatisé de modélisation des menaces conçu pour s'intégrer dans l'ensemble du cycle de vie du développement logiciel (SDLC). Cette méthodologie utilise deux modèles de menaces : des modèles de menaces applicatives pour les équipes de développement et des modèles de menaces opérationnelles pour les équipes d'infrastructure.
Les modèles de menaces applicatives destinés aux équipes de développement sont créés à l'aide de diagrammes de flux de processus (PFD), un organigramme qui permet de décrire le flux général d'un processus métier et la manière dont l'utilisateur interagirait avec le système. VAST utilise des PFD au lieu des DFD, pour fournir des informations contextuelles plus approfondies et une vue similaire à celle d'un attaquant. D’un autre côté, les modèles de menace opérationnelle utilisent les DFD traditionnels également présentés du point de vue d’un attaquant.
Choisir la bonne méthodologie de modélisation des menaces
Avec les différentes méthodologies de modélisation des menaces disponibles, choisir celle qui convient le mieux à votre entreprise et à votre environnement peut s'avérer difficile. Toutes les méthodologies de modélisation des menaces ne sont pas créées avec la même approche. Certains se concentrent sur les actifs du système modélisés comme une menace, d’autres sur les attaquants et d’autres encore sur le système ou le logiciel modélisé comme une menace.
Même si toutes les méthodologies de modélisation des menaces peuvent identifier des menaces potentielles, le nombre et le type de menaces identifiées varient considérablement, notamment en termes de qualité, de cohérence et de valeur provenant de ces modèles de menaces. Ce qui convient parfaitement du point de vue des fonctionnalités et de l’approche de modélisation à une organisation peut ne pas convenir à une autre. Pour garantir que les renseignements sur les menaces sont exploitables, les équipes de sécurité doivent déterminer quelle méthode correspond à leurs buts et objectifs commerciaux spécifiques.
Vous devez prendre en compte divers facteurs, tels que le système ou le type de menaces modélisées, et dans quel but, l'approche de modélisation (centrée sur les actifs, sur les attaques ou sur les logiciels) qui répond le mieux à vos besoins, la résultat souhaité, capacité d’évolutivité, capacité à générer des rapports et capacité à mesurer l’efficacité de la modélisation des menaces, entre autres.
Outils de modélisation des menaces
La modélisation des menaces peut être un processus complexe et long. Cependant, certains outils peuvent automatiser le processus et réduire le temps et les coûts impliqués. Un bon outil de modélisation des menaces permet aux utilisateurs de visualiser, concevoir, planifier et prédire toutes sortes de menaces potentielles. Microsoft Visio, Excel et PowerPoint font partie des outils les plus couramment utilisés pour la modélisation des menaces. Parmi les autres outils de modélisation des menaces commerciaux et open source couramment utilisés figurent :
1. Outil de modélisation des menaces Microsoft
L'outil de modélisation des menaces de Microsoft a été conçu pour des experts non spécialisés en sécurité et est disponible gratuitement. L'outil peut se connecter à n'importe quel système de suivi des problèmes, intégrant ainsi le processus de modélisation des menaces au processus de développement standard. En outre, il fournit des conseils clairs sur la création et l’analyse de modèles de menaces et permet aux développeurs ou aux architectes logiciels de :
- Communiquer sur la conception de sécurité de leurs systèmes.
- Analysez ces conceptions pour détecter d’éventuels problèmes de sécurité à l’aide d’une méthodologie éprouvée.
- Suggérer et gérer les atténuations des problèmes de sécurité.
2. Dragon de menace OWASP
Dragon de menace OWASP est un outil open source de modélisation des menaces utilisé pour créer des modèles de menaces dans le cadre d'un cycle de vie de développement sécurisé. Threat Dragon suit les valeurs et les principes du manifeste sur la modélisation des menaces .
Avantages:
- Plateforme entièrement open source et transparente
- Prend en charge les méthodologies populaires telles que STRIDE
- A un fort soutien de la communauté
- Prend en charge un large éventail d’intégrations
Les inconvénients:
- Mieux adapté aux environnements non professionnels
Threat Dragon prend en charge STRIDE et d'autres méthodologies et peut documenter les menaces possibles et décider de leurs atténuations.
3. Modeleur de menaces
Modeleur de menaces est un outil moderne et automatisé de modélisation des menaces qui implémente la méthodologie VAST. L'outil est conçu pour s'intégrer dans un environnement de développement logiciel agile et fournir des résultats exploitables aux développeurs et aux équipes de sécurité pour identifier, prédire et définir les menaces.
Avantages:
- Modélisation des menaces facile à utiliser
- Peut personnaliser les bibliothèques de menaces pour chaque projet
- S'intègre à des outils populaires tels que JIRA ou Jenkins
Les inconvénients:
- L'interface peut parfois sembler primitive
De plus, ThreatModeler offre une vue globale de l'ensemble de la surface d'attaque, permettant aux entreprises de minimiser leur risque global.
4. sécuriCAD Professionnel
sécuriCAD Professionnel by Foreseeti permet aux équipes de sécurité de concevoir des modèles virtuels d’infrastructures informatiques existantes et futures. Les simulations d'attaques sur un modèle virtuel et les tests d'atténuation fournissent des informations détaillées sur les chemins d'attaque réussis et les chaînes de destruction les plus probables.
Avantages:
- Conçu pour les équipes de sécurité
- Fournit une variété d’options de simulation d’attaque
- Offre un moyen simple mais puissant d’accéder à différentes options d’atténuation
Les inconvénients:
- Idéal pour les équipes de sécurité moyennes à grandes
De plus, les utilisateurs peuvent évaluer virtuellement les mesures d'atténuation de sécurité déployées dans securiCAD pour trouver le moyen le plus efficace d'éliminer les cybermenaces.
5. IriusRisque
Iriusrisque est un outil de modélisation des menaces qui effectue une analyse des risques et génère un modèle de menace d'une application logicielle lors de la phase de conception avec des recommandations sur la façon de gérer le risque.
Avantages:
- Outils de modélisation faciles à utiliser
- La version Enterprise inclut un accès API pour les grands projets
- Comprend une version gratuite
Les inconvénients:
- Mieux adapté à la planification et à la modélisation des menaces
Il s'agit d'un outil glisser-déposer basé sur un assistant que vous pouvez utiliser pour générer des cartes des menaces avec des informations sur ce qu'il faut rechercher.
6. Éléments SD
Éléments SD by Security Compass est une plateforme intégrée d'évaluation des risques, de codage sécurisé et de modélisation des menaces qui permet d'automatiser l'ensemble du processus de sécurité tout en tirant parti de l'automatisation équilibrée du développement (BDA). Cela permet de maximiser le temps et la valeur.
Avantages:
- Comprend un outil d'évaluation des risques combiné à des outils avancés de modélisation des menaces
- Peut automatiser de nombreuses analyses, tests et évaluations
- Offre un excellent mélange de temps et de valeur
- Idéal pour les environnements plus grands
Les inconvénients:
- Peut prendre du temps pour explorer pleinement toutes les options et fonctionnalités
7. Sécurité
Le Sécurité Threat Modeling Automator est un outil SaaS pris en charge par STRIDE, conçu pour assurer la sécurité au stade architectural. Leur approche est simple : téléchargez un schéma de votre système (avec ses données annotées) au format draw.io, Visio ou Excel, et il générera votre modèle de menace. Le modèle de menace développé identifiera les éléments, le flux de données et les menaces et recommandera des mesures d'atténuation.
Avantages:
- Se concentre fortement sur l’automatisation de l’analyse des menaces
- Un outil SaaS très flexible
- Peut générer des modèles de menaces détaillés basés sur des diagrammes de réseau
- Prend en charge le framework STRIDE
Les inconvénients:
- Nécessite un certain degré d’expertise technique pour fonctionner