Cursus Security by Design - Threat modeling
€1295, aangeboden door Cibit academy
*Deze training is te volgen met een UWV Voucher!
Threat modeling is een nieuwe naam voor wat we allemaal kennen uit ons dagelijks leven. Als er regen voorspeld wordt dan nemen we een paraplu mee als we naar buiten gaan. Als we in een buurt wonen waar veel ingebroken wordt dan installeren we een inbraakalarm in ons huis. We bedenken met welke bedreigingen we geconfronteerd worden en nemen zo nodig maatregelen.
Ook in de wereld van IT bestaan er tal van bedreigingen. Een website kan gehackt worden. Mailverkeer kan afgeluisterd worden. Een USB-stick met vertrouwelijke gegevens kan in verkeerde handen terecht komen.
De laatste jaren is er sprake van een snel groeiend bewustzijn van dit soort bedreigingen, bij bedrijven, organisaties en particulieren. Dat bewustzijn vertaalt zich in een toenemende aandacht voor het voorkomen van problemen middels het van meet af aan ontwikkelen van veilige software, van veilige IT-voorzieningen. “Security by design†wordt dat genoemd.
Threat modeling richt zich op het in kaart brengen van bedreigingen in een zo vroeg mogelijk stadium van software ontwikkeling – tijdens het opstellen van requirements en het maken van ontwerpen. Als de bedreigingen bekend zijn dan kan vervolgens worden besloten of er maatregelen nodig zijn om die bedreigingen het hoofd te bieden en welke maatregelen dan het meest in aanmerking komen.
Bedreigingen in kaart
Maar waar begin je als je bedreigingen in kaart wil brengen? De laatste jaren zijn er diverse methodes ontwikkeld om dit gestructureerd aan te pakken. De meest bekende is de STRIDE methodiek, ontwikkeld door Microsoft. Ieder van de letters in STRIDE staat voor een type bedreiging: Spoofing (misleiding), Tampering (knoeien), Repudiation (ontkenning), Information Disclosure (onthullen van informatie), Denial of Service (weigering van diensten), Elevation of Privilege (vergroten van rechten). Met behulp van deze indeling kan je gericht zoeken naar de grootste bedreiging voor IT-systemen en kan je vervolgens maatregelen nemen om deze bedreigingen tegen te gaan. Maar er zijn ook andere methodieken om hetzelfde doel te bereiken, zoals ASVS van OWASP (vooral gericht op webapplicaties) en IRAM van ISF (opgezet vanuit een business perspectief).
In deze cursus besteden we aandacht aan de verschillende methodieken. Stuk voor stuk hebben ze tot doel om de belangrijkste bedreigingen voor een IT-systeem in kaart te brengen. Ook besteden we aandacht aan het vergroten van de aandacht voor threat modeling in organisaties – hoe krijg je een heel team mee in het actief identificeren en ordenen van alle bedreigingen in de IT-wereld van vandaag? Hoe zorg je dat het management hier actief op stuurt? We besteden veel aandacht aan het eigen maken van de methodieken en het overbrengen van de boodschap.
Doelgroep
De cursus is gericht op managers van IT-afdelingen, architecten, security officers, risico managers, senior ontwikkelaars.