Risikoanalyse

Question 1

Was ist STRIDE?

Answer 1

Ein Modell für die Sicherheitsmodellierung von Systemen und Prozessen benannt nach den folgenden sechs Bedrohungskategorien

Spoofing (Identitätsverschleierung)
Tampering (Manipulation)
Repudiation (Verleugnung)
Information disclosure (Verletzung der Privatsphäre oder Datenpanne)
Denial of service (Verweigerung des Dienstes)
Elevation of privilege (Rechteausweitung)

Question 2

Wie ist die Stride Vorgehensweise?

Answer 2

1. System oder Prozess modellieren
2. Bedrohungen finden
3. Bedrohungen zuordnen
4. Risiken validieren

Question 3

Was ist DREAD?

Answer 3

Damage: Wie schwerwiegend wären die Auswirkung einer Attacke?
Reproducibility: Wie einfach könnte die Attacke wiederholt/nachgeahmt werden?
Exploitability: Wie viel Aufwand benötigt die Attacke?
Affected users: Wie viele Benutzer sind von der Attacke betroffen?
Discoverability: Wie einfach ist es, die Bedrohung zu entdecken?

Question 4

OWASP TOP 10 Beispiele

Answer 4

Bilder

Question 5

Was sind die Vorarbeiten der Risikoanalyse?

Answer 5

Zu Beginn einer Risikoanalyse benötigen Sie Kenntnis über
1. die Assets und deren Schutzbedarf
2. die Bedrohungen und deren Relevanz

Question 6

Was ist eine CVE?

Answer 6

Common Vulnerabilities and Exposures

Aufbau: Jahreszahl und vierstellige Nummer
CVE-YYYY-NNNN

Question 7

Was ist Fuzzing?

Answer 7

automatisierte Technik für Softwaretests, bei der das zu testende Programm an einer
oder mehreren Eingabeschnittstellen immer wieder mit Zufallsdaten beschickt wird