Unsere neue Blogreihe #cyber#forschung ist gestartet! Im Bereich der Cybersicherheit ist secuvera schon seit mehreren Jahren aktiv als Partner an verschiedensten Forschungsprojekten beteiligt.
Im Rahmen der neuen Blogreihe werden wir Ihnen regelmäßig von unseren aktuellen Forschungsprojekten berichten.
Der erste Beitrag der Reihe gibt einen Einblick in das Forschungsprojekt „OVVL – Automatisierte Bedrohungsmodellierung für den sicheren Softwarelebenszyklus“.
Die Beachtung von Security im Softwarelebenszyklus sollte als eine notwendige Qualitätseigenschaft angesehen werden. Um diese Eigenschaft zu erreichen, muss Security während des gesamten Entwicklungsprozesses betrachtet werden. Hier spricht man auch von „Shift Left“. Dies bedeutet, man führt in einem frühen Entwicklungsstadium eine Bedrohungsmodellierung (Threat Modeling) durch. Hierbei wird das zu entwickelnde System betrachtet, mögliche Angriffsszenarien analysiert und mitigierende Maßnahmen definiert.
Forschungsprojekt OVVL
Bei OVVL („Automatisierte Bedrohungsmodellierung für den sicheren Softwarelebenszyklus“) handelt es sich um ein vom Bundesministerium für Bildung und Forschung (BMBF) gefördertes Projekt. secuvera führt das Projekt zusammen mit den Projektpartnern ERNW und der Hochschule Offenburg durch. Ziel des Projektes ist es, ein Tool zu entwickeln, das Entwickler bei der Bedrohungsmodellierung unterstützt. Als Folge ist Security damit im Produkt verankert (Security-by-Design) und wird nicht nur am Ende als Schirm über alles gespannt.
Im ersten Schritt wird eine Threat Modeling Methodik entwickelt. Diese wird praktisch anhand realer Projekte validiert. Darüber hinaus werden domänenspezifische Bedrohungs-Datenbanken entwickelt. So können auch individuelle Anwendungsgebiete (z. B. 5G-Netze, Videokonferenzlösungen, etc.) abgedeckt werden. Vor allem in Kombination von Methodik und domänenspezifischen Bedrohungs-Datenbanken kann die Bedrohungsmodellierung äußerst effizient und vollständig durchgeführt werden.
Wie geht’s weiter?
Final soll im Projekt OVVL ein Tool entstehen, in welchem eine Bedrohungsmodellierung durchgeführt wird. Gleichzeitig sollen spätere Schritte der Entwicklungstools (CI/CD-Pipeline) auf die Ergebnisse der Bedrohungsmodellierung zurückgreifen.
Sie sind neugierig auf unsere neue Blogreihe geworden und wollen informiert bleiben? Folgen Sie uns gerne auf unseren Social Media Kanälen, um keine neuen Beiträge mehr zu verpassen.