A számítógépes biztonság területén a fenyegetésmodell egy olyan folyamat, amely révén a lehetséges fenyegetéseket , például a strukturális sebezhetőségeket azonosítani, felsorolni és fontossági sorrendbe állítani - a hipotetikus támadó szempontjából. Vagyis ez a potenciális fenyegetések azonosításának, számlálásának és rangsorolásának folyamata megterheli a védőt és eszközeit (adatok, rendszerek stb.).
Elméletileg a legtöbb ember beépít valamilyen fenyegetési modellt a mindennapjaiba, és nem veszi észre. A felhasználók fenyegetésmodellezéssel vizsgálják meg, mi romolhat el reggel a munkavégzés során, hogy megelőző intézkedéseket hozzanak bizonyos balesetek elkerülése érdekében. A gyermekek fenyegetésmodellezéssel foglalkoznak, amikor meghatározzák a cél elérésének legjobb módját, miközben elkerülik a játszótéren elkövetett zaklatásokat. Formálisabban a fenyegetésmodellezést alkalmazták a katonai védelem előkészítésének előtérbe helyezésére az ókortól kezdve.
Ezenkívül a fenyegetési modell mindig eseti és soha nem végleges, paraméterei folyamatosan fejlődnek, akár a védők eszközeinek kitettsége és kiszolgáltatottsága, akár potenciális ellenfeleik jellege és erőforrásai tekintetében.
A fenyegetésmodellezés ötlete csatlakozik a kockázatkezelés elvéhez .
Röviddel a megosztott számítástechnika kezdete után, az 1960-as évek elején, az emberek a biztonsági rés kihasználásának módját keresték személyes haszonszerzés céljából. Ez arra késztette a mérnököket és az informatikusokat, hogy gyorsan kidolgozzák a számítógépes rendszereket fenyegető veszélyek modellezésének koncepcióit.
Az első fenyegetésmodellezési módszerek az építészeti modellek koncepcióján alapulnak, amelyet Christopher Alexander mutatott be először 1977-ben. 1988-ban Robert Banard sikeresen kifejlesztette és alkalmazta az első profilt egy számítógépes rendszer támadójára.
1994-ben Edward Amoroso „A számítástechnikai biztonság alapjai” című könyvében előterjesztette a fenyegetés fa fogalmát. A fenyegetésfa koncepciója döntési fa diagramokon alapult. A fenyegetõ fákat grafikusan ábrázolják, mint potenciális veszélyt a kihasználható számítógépes rendszerre.
Az NSA és a DARPA egymástól függetlenül hasonló munkát végeztek a számítógépes rendszerek elleni konkrét támadások végrehajtásának strukturált grafikus ábrázolásán. A végső ábrázolást „támadási fáknak” hívták. 1998-ban Bruce Schneier a támadási fák felhasználásával elemezte a kiberkockázatokat „A biztonságos rendszerek mérnöki módszertanának felé” című írásában. Ez a dokumentum döntőnek bizonyult a számítógépes rendszerek fenyegetésmodellezésének fejlődésében. Schneier elemzésében a támadó célja „gyökércsomópontként” jelenik meg, a cél elérésének lehetséges eszközeit „levélcsomópontként” ábrázolják. A fenyegetésfa ilyen módon történő felhasználása lehetővé tette a biztonsági szakemberek számára, hogy szisztematikusan vegyék figyelembe több támadásvektort egy meghatározott célpont ellen.
1999-ben a Microsoft Loren Kohnfelder és a Praerit Gard biztonsági szakemberei Schneier fenyegetésfájának elemzésével olyan módszeres módszert dolgoztak ki, amelynek célja a környezet fejlesztése szempontjából releváns lehetséges támadások megfontolása a Microsoft Windows-tól. Az így kapott STRIDE fenyegetésmodell (a STRIDE a személyazonosság-lopás, az adatmeghamisítás, az elutasítás, az információk nyilvánosságra hozatala, a szolgáltatás megtagadása, a privilégium emelése rövidítése) arra kényszerítette a biztonsági szakembereket, hogy szisztematikusan meghatározzák, hogyan használhatja a potenciális támadó a STRIDE minősítésű fenyegetéseket a egy Schneier típusú fa.
2003-ban vezették be először az OCTAVE módszert (Operationally Critical Threat, Asset and Vulnerability Evaluation), a kockázatértékelésen alapuló fenyegetésmodellezési módszert, különös hangsúlyt fektetve a szervezeti kockázatkezelésre. 2004-ben Frank Swiderski és Window Snyder megírta a „fenyegetés modellezését” a Microsoft Press számára, ahol kidolgozták a fenyegetésmodellek biztonságos alkalmazás létrehozására vonatkozó koncepcióját.
2014-ben Ryan Stillions kifejezi azt az elképzelést, hogy a kiberfenyegetések különböző szemantikai szintekkel fejezhetők ki, javasolta a DML (Detection Maturity Level) modellt. A támadás egy fenyegetés forgatókönyvének egy példánya, amelyet egy adott támadó hoz létre, konkrét célokat szem előtt tartva és stratégiát a cél elérésére. A cél és a stratégia a DML modell legmagasabb szemantikai szintjét képviseli. Ezután jön a TPP (taktika, technikák és eljárások), amelyek a köztes szemantikai szinteket képviselik. A DML-modell leggyengébb szemantikai szintje a támadó, a gazdagép és a megfigyelt hálózati artefaktumok, például az IP-címek által használt eszközök a legalacsonyabb szemantikai szinten. A jelenlegi SIEM eszközök általában csak a legalacsonyabb szemantikai szinteken nyújtanak mutatókat. Ezért olyan SIEM eszközöket kell kifejleszteni, amelyek képesek magasabb szemantikai szinteken megjeleníteni a fenyegetési mutatókat.
Elméletileg a fenyegetési modell gyakorlati alkalmazása egy módszertan alkalmazásából ered. Számos modellezési módszer létezik ehhez a megvalósításhoz. Az alábbiakban bemutatjuk a legnépszerűbb módszereket.
A fenyegetésmodellezés STRIDE megközelítését 1999-ben vezették be a Microsoftnál, amely lehetővé tette a fejlesztők számára, hogy „fenyegetéseket találjanak termékeinkre”. A Microsoft által kifejlesztett és közzétett, konkrétabban a STRIDE módszertanra vonatkozó fenyegetési modell magában foglalja a módok és gyakorlatok, az erőforrások és a kiindulási pontok témaköreit. Továbbá, amikor a „Microsoft” módszertanra hivatkozunk, általában STRIDE.
Az Attack Simulation and Threat Analysis folyamat egy kockázatalapú módszertan, amely hét lépésre oszlik. Ez a módszertan segíti az operatív célok és a műszaki követelmények összehangolását, figyelembe véve a megfelelőségi kérdéseket és az operatív elemzéseket. A módszer célja a fenyegetések azonosításának, számlálásának és pontozásának dinamikus folyamatának biztosítása. Amikor a fenyegetési modell elkészült, a biztonsági szakértők elkészíthetik az azonosított fenyegetések részletes elemzését, majd felsorolhatják a megfelelő biztonsági ellenőrzéseket. Ennek a módszertannak az a célja, hogy támadóközpontú képet adjon az alkalmazásról és az infrastruktúráról, amelyből a védők eszközközpontú mérséklési stratégiát dolgozhatnak ki.
A TRIKE módszertana a fenyegetésmodellek kockázatkezelési eszközként való használatát hangsúlyozza. Ebben az esetben a fenyegetési modellek „követelménymodellen” alapulnak. A követelménymodell meghatározza az érintettek által meghatározott, elfogadható kockázati szintet, amelyet az egyes eszközosztályokhoz rendelnek. A követelménymodell elemzését követően egy fenyegetési modell eredményezi, amelyben felsorolják a fenyegetéseket és hozzárendelik a kockázati értékeket. Az elkészült fenyegetési modell felhasználásával kockázati modell készül, amely az eszközön, szerepeken, cselekvéseken és a kiszámított kockázati kitettségen alapul.
A 27005 ISO szabvány egy nemzetközi szabvány, amely kifejezetten a kockázatkezeléssel foglalkozik a számítógépes biztonsággal összefüggésben. Ezt a módszert 6 szakaszra bontják: a kontextus létrehozása, a kockázatok értékelése, a kockázat kezelése, a kockázat elfogadása, a kockázat kommunikálása, majd a kockázat figyelemmel kísérése és újbóli vizsgálata.
Minden számítógépes fenyegetésmodellezési folyamat az elemzett alkalmazás és / vagy infrastruktúra vizuális ábrázolásával kezdődik. Az elemzés megkönnyítése érdekében az alkalmazást / infrastruktúrát különböző elemekre bontják. Miután elkészült, a vizuális ábrázolást a potenciális fenyegetések azonosítására és felsorolására használják. A modell további elemzése az azonosított fenyegetésekhez kapcsolódó kockázatok tekintetében, a fenyegetések rangsorolása és a megfelelő mérséklési intézkedések felsorolása a fenyegetési modellhez alkalmazott folyamat módszertani alapjától függ.
A Microsoft, a PASTA és a Trike módszertan mindegyike kidolgozza az alkalmazás infrastruktúrájának vizuális ábrázolását az adatfolyam- diagramok (DFD) segítségével. A DFD-ket először az 1970-es években fejlesztették ki, a mérnökök eszközeként, hogy magas szinten kommunikálhassanak arról, hogy egy alkalmazás milyen módon kering, tárolódik és manipulálható az infrastruktúra alatt, amelyen fut. A DFD-k csak négy egyedi szimbólumot használnak: adatfolyamok, adatok tárol, folyamatokat és kölcsönhatásokat. A 2000-es évek elején egy további szimbólum, a Trust Limits került hozzáadásra, hogy lehetővé tegye a DFD-k fenyegetésmodellezését.
Miután az alkalmazás infrastrukturális rendszerét öt részre bontották, a biztonsági szakértők minden egyes azonosított fenyegetés belépési pontot megvizsgálnak az összes ismert fenyegetési kategóriához képest. A potenciális fenyegetések azonosítása után fel lehet sorolni a biztonsági ellenőrzések mérséklő intézkedéseit, vagy további vizsgálatokat lehet végrehajtani.
A VAST módszertan megkülönbözteti az alkalmazásfenyegetési modelleket (ATM) az operatív vagy az infrastrukturális fenyegetési modellektől (OTM).
Az ATM-ek folyamatfolyamat-diagramokkal készülnek. Ezeket a diagramokat 2011-ben dolgozták ki az Agile szoftverfejlesztő csapatok eszközeként az alkalmazás-tervezési folyamaton alapuló fenyegetési modellek létrehozására.Az alkalmazásokat különböző jellemzőikre vagy felhasználási esetekre bontják. Minden funkció leírása a szolgáltatás felépítéséhez szükséges modulokkal vagy kódblokkokkal történik. Ezután a funkciókat kommunikációs protokollok kapcsolják össze. Az így kapott vizualizáció egy térkép, amely megmutatja, hogyan mozog a felhasználó az alkalmazás különböző jellemzőin.
Az OTM-ek végpontok közötti adatfolyam-diagramokkal készülnek, amelyek nagyon hasonlítanak a hagyományos DFD-kre. A végpontok közötti adatfolyam-diagramok a számítógépes rendszert különálló, csoportosított és megosztott összetevőkre bontják.
Az ATM vagy OTM elkészítése után a módszertan meghatározza, hogy miként lehet azonosítani, felsorolni, fontossági sorrendbe állítani a potenciális fenyegetéseket és társítani azokat a releváns kockázatokkal és a biztonsági ellenőrzések mérséklésével.
Jelenleg öt szervezeti fenyegetésmodellező eszköz létezik:
A fenyegetés modellezése nemcsak az informatikára vonatkozik, hanem más területekre is, mint például az autóipar, az építőipar és az otthoni automatizálás; ebben az összefüggésben modellezik a biztonságot és a magánéletet fenyegető veszélyeket, például az utazási profilokra, a munkaidőre és a lakók egészségi állapotára vonatkozó információkat, valamint a fizikai vagy hálózati támadásokat. Utóbbi egyre intelligensebb épületelemeket, érzékelőket (például a lakó kémleléséhez) és működtető elemeket (például az ajtók kinyitásához) használhat.