Threat Modeling

Threat modeling is een gestructureerd proces waarmee je potentiele beveiligingsrisico's in systemen, applicaties en netwerken identificeert en prioriteert. Door al in de ontwerpfase systematisch na te denken over mogelijke dreigingen, voorkom je kostbare kwetsbaarheden in productieomgevingen. Het concept is oorspronkelijk ontwikkeld door Microsoft en wordt inmiddels breed ingezet binnen DevSecOps-trajecten en security-architectuurreviews. Threat modeling helpt je om beveiliging proactief aan te pakken in plaats van reactief te reageren op incidenten. Het dwingt teams om vanuit het perspectief van een aanvaller naar hun eigen systemen te kijken en blinde vlekken in de architectuur te ontdekken voordat ze worden geexploiteerd. Organisaties die structureel aan threat modeling doen, rapporteren significant minder kritieke kwetsbaarheden in productie en kortere doorlooptijden bij security-audits.

In de praktijk combineer je threat modeling met andere beveiligingsprocessen zoals penetratietesten en vulnerability assessments. Waar een penetratietest achteraf kwetsbaarheden opspoort, identificeert threat modeling risico's voordat code wordt geschreven. Deze verschuiving naar links in de ontwikkelcyclus, ook wel shift-left security genoemd, bespaart organisaties aanzienlijk in herstelkosten. Een kwetsbaarheid die je in de ontwerpfase vindt, kost een fractie van wat het kost om dezelfde kwetsbaarheid in productie te verhelpen. Threat modeling is daarmee een van de meest kosteneffectieve security-activiteiten die je kunt uitvoeren.

Hoe werkt threat modeling? Stappen

Het threat modeling-proces volgt doorgaans vier tot zeven stappen, afhankelijk van de gekozen methodologie. De meest gebruikte methodologieen zijn STRIDE en PASTA. STRIDE, ontwikkeld door Microsoft, categoriseert dreigingen in zes typen: Spoofing (identiteitsvervalsing), Tampering (datamanipulatie), Repudiation (ontkenning van acties), Information Disclosure (informatielekken), Denial of Service (dienstverstoring) en Elevation of Privilege (rechtenescalatie). Je doorloopt elke categorie systematisch per component van je systeem en documenteert de gevonden risico's.

PASTA (Process for Attack Simulation and Threat Analysis) is een risico-georienteerde aanpak in zeven fasen. Je begint met het definieren van bedrijfsdoelstellingen, brengt vervolgens de technische scope in kaart, decomposeert de applicatiearchitectuur, analyseert dreigingen, identificeert kwetsbaarheden, modelleert aanvalsscenario's en sluit af met een risico- en impactanalyse. PASTA is geschikt voor volwassen organisaties die dreigingen willen koppelen aan bedrijfsimpact en is populair in sectoren als finance en gezondheidszorg.

In de praktijk start je met het maken van een dataflow-diagram van je systeem. Je brengt in kaart waar data binnenkomt, hoe het verwerkt wordt, waar het opgeslagen wordt en wie er toegang toe heeft. Elke trust boundary, het punt waar data van een vertrouwde naar een onvertrouwde zone gaat, markeer je als potentieel aanvalsoppervlak. Vervolgens identificeer je per component de mogelijke dreigingen en beoordeel je de kans en impact. Op basis daarvan prioriteer je maatregelen en documenteer je acceptatie- of mitigatiebesluiten. Dit proces herhaal je bij elke significante wijziging in de architectuur.

Wanneer voer je threat modeling uit?

Threat modeling voer je idealiter uit in de ontwerpfase van een nieuw systeem of nieuwe functionaliteit. Bij agile ontwikkeling integreer je het in je sprint-planning, waarbij je bij elke user story met security-implicaties een korte dreigingsanalyse uitvoert. Veel teams gebruiken hiervoor een vereenvoudigd template dat in vijftien tot dertig minuten doorlopen kan worden. Daarnaast is threat modeling waardevol bij significante architectuurwijzigingen, migraties naar de cloud, integraties met externe systemen en na grote beveiligingsincidenten.

Regelgevingskaders zoals NIS2 en ISO 27001 vereisen dat organisaties hun risico's systematisch in kaart brengen. Threat modeling is een effectieve methode om aan deze eis te voldoen. Veel auditors accepteren een gedocumenteerd threat model als bewijs van risicoanalyse. Voor organisaties in vitale sectoren, zoals energie, gezondheidszorg en financiele dienstverlening, is periodieke threat modeling feitelijk onmisbaar geworden. Ook bij fusies, overnames of het aansluiten van nieuwe partners is een dreigingsanalyse verstandig.

Je hoeft niet te wachten op een formeel moment. Elke keer dat je een nieuw component toevoegt, een API openstelt of een derde partij integreert, is het verstandig om een snelle dreigingsanalyse uit te voeren. Sommige teams houden wekelijkse threat modeling-sessies van dertig minuten, waarin ze recente wijzigingen doorlopen en nieuwe risico.s documenteren. Deze aanpak zorgt ervoor dat security een continu onderdeel van het ontwikkelproces wordt in plaats van een eenmalige activiteit.

Wat kost threat modeling?

De kosten van threat modeling varieren sterk op basis van scope en complexiteit. Een eenvoudige threat modeling-sessie voor een enkele applicatie kost doorgaans tussen de 2.000 en 5.000 euro wanneer je een externe specialist inschakelt. Voor complexere omgevingen met meerdere systemen en integraties liggen de kosten tussen 10.000 en 25.000 euro per assessment. Bij grote enterprise-omgevingen met tientallen microservices en externe koppelingen kunnen de kosten oplopen tot 50.000 euro of meer.

Investeer je in tooling zoals Microsoft Threat Modeling Tool (gratis), OWASP Threat Dragon (open source) of commerciele platforms zoals IriusRisk, dan liggen de initiele kosten lager maar is er een doorlopende investering in training en onderhoud nodig. De return on investment is echter aantoonbaar: een kwetsbaarheid die je in de ontwerpfase onderschept, kost gemiddeld 6 tot 30 keer minder om te verhelpen dan dezelfde kwetsbaarheid in productie. Veel organisaties besparen tienduizenden euro's per jaar door vroegtijdige detectie van ontwerpfouten.

Voor MKB-organisaties is het vaak kosteneffectief om threat modeling te combineren met andere security assessments. Veel securityconsultants bieden gecombineerde pakketten aan waarin threat modeling, penetratietesten en configuratiereviews samen worden uitgevoerd tegen een gereduceerd tarief.

Veelgestelde vragen over threat modeling

Wat is het verschil tussen threat modeling en een penetratietest?

Threat modeling is een proactief ontwerpproces dat dreigingen identificeert voordat ze ontstaan. Een penetratietest is een reactieve test die bestaande kwetsbaarheden in een werkend systeem opspoort. Ze vullen elkaar aan: threat modeling voorkomt zwakke plekken, een penetratietest verifieert of de implementatie daadwerkelijk veilig is.

Welke threat modeling-methodologie past bij mijn organisatie?

STRIDE is geschikt als je team nieuw is met threat modeling en een praktisch startpunt zoekt. PASTA past beter bij volwassen organisaties die dreigingen willen koppelen aan bedrijfsrisico's. Je kunt ook combineren: start met STRIDE voor technische componenten en gebruik PASTA voor bedrijfskritische systemen.

Hoe vaak moet je threat modeling uitvoeren?

Voer threat modeling uit bij elke significante architectuurwijziging, minimaal jaarlijks voor kritieke systemen. Bij agile ontwikkeling integreer je korte dreigingsanalyses in je sprint-planning. Na een beveiligingsincident is het verstandig om het betreffende threat model te herzien en bij te werken.

Heb je specialistische kennis nodig voor threat modeling?

Basiskennis van cybersecurity en systeemarchitectuur is voldoende om te starten. De STRIDE-methodologie is ontworpen om ook door ontwikkelaars zonder securityachtergrond te worden uitgevoerd. Voor complexere omgevingen is het raadzaam om een ervaren security-architect te betrekken bij de sessies.

Is threat modeling verplicht onder NIS2?

NIS2 verplicht organisaties om passende risicobeheersmaatregelen te nemen. Threat modeling is niet expliciet genoemd, maar het is een erkende methode om aan de eis van systematische risicoanalyse te voldoen. Veel toezichthouders beschouwen het als een best practice voor risicomanagement.

Vind een specialist voor threat modeling via Consultancy & Advies op IBgidsNL.