Security-Patterns für System-Architekten
Vom High-Level-Design zum LLD, über UML Modelle und/oder Domain Driven Design. Architekten strukturieren Aufgaben, Systeme und Netzwerke, um eine vollständige Modellierung der Business-Requirements im Lösungsraum abzubilden. System-Architekten sind häufig ehemalige Software-Entwickler oder Netzwerkdesigner.
Damit auch im Low-Level-Design die notwendigen Sicherheitsmaßnahmen einfließen, müssen sich Architekten mit den typischen Angriffsvektoren von Angreifern auseinander setzen. In einer Zusammenfassung erläutere ich die verschiedenen Ebenen auf denen Systeme und Software kompromittiert werden um dann ins Detail einzusteigen. Wir unterscheiden die Patterns von Sicherheitsmaßnahmen und ihre Eigenschaften, um diese dann in einem Sicherheitsmodell, ggf. schon angepasst an die jeweilige Systemumgebung, zusammen zu stellen. Hilfreiche Tools dazu sind Attack-Trees, Threat-Modelling und natürlich die MITRE ATT&CK Matrix.
Die zuvor genannten Inhalte werden in folgende Trainingseinheiten aufgeteilt:
- Defense-Management
- Security-Massnahmen-Typen
- Sicherheits-Architektur
Das Training wird auf mehrere Tage oder Wochen verteilt und insgesamt erstreckt sich der Trainingsinhalt auf 16 Stunden (2 Tage).