De fleste som jobber med produktutvikling i større organisasjoner har et forhold til risiko- og sårbarhetsanalyser (RoS). Likevel har jeg sjelden hørt noen i et produktteam beskrive dette arbeidet som spesielt nyttig i praksis. Det blir ofte noe man må gjøre, heller enn et verktøy som gir reell verdi i utviklingsprosessen. Resultatet blir gjerne brede, tunge og dokumentdrevne analyser som ikke helt treffer målet: at teamet som kjenner den tekniske løsningen får tid til å diskutere det som faktisk utgjør reell risiko. I denne artikkelen beskriver jeg en prosess som gir rom for nettopp disse diskusjonene: smidig trusselmodellering.
Smidig trusselmodellering (agile threat modelling) er en mer kreativ og samarbeidsbasert tilnærming til å identifisere og prioritere sikkerhetsrisiko, med et konkret resultat som kan brukes direkte i RoS-en. Ambisjonen er ikke å produsere en perfekt analyse, men å legge til rette for gode samtaler om risiko, og bruke disse til å ta bedre beslutninger. Verdien ligger først og fremst i prosessen, ikke i dokumentet.
Ideelt sett bør hele teamet delta for å øke eierskapet til sikkerheten. Et minimum er de som kjenner den tekniske risikoen i systemet best og de som skal ta beslutninger om risiko.
Struktur
Workshopen kan gjennomføres på 1–1,5 time, avhengig av omfang og kompleksitet. Det viktigste er å scope riktig, slik at analysen er gjennomførbar og gir rom for gode diskusjoner.
1. Hva skal vi beskytte? (15 min)
Start med å tegne systemet: bokser og piler, avhengigheter og integrasjoner. Deretter identifiserer man hvilke verdier som må beskyttes.
2. Hva kan gå galt? (30 min)
Gjennom “evil brainstorming” prøver teamet å tenke som en angriper: Hva ville vi gjort hvis vi ønsket å misbruke systemet? STRIDE kan brukes som inspirasjon. Poenget er å utforske realistiske trusselscenarioer.
3. Hva prioriterer vi? (10 min)
Ofte vil det dukke opp flere scenarioer enn man rekker å vurdere. Det er helt greit å stemme frem de viktigste og bevisst legge resten til side. Scenarioer som er utenfor scope kan også fjernes. Husk at å prioritere risiko er selve poenget.
4. Hva gjør vi med det? (20 min)
For de prioriterte scenarioene kan man diskutere sannsynlighet og konsekvens, basert på organisasjonens egne definisjoner. Deretter identifiseres tiltak som kan redusere risikoen til et akseptabelt nivå, og hvilken effekt de forventes å ha.
Etter workshopen kan resultatet legges rett inn i RoS-en.
Mine beste tips
- Scoping
Ikke prøv å analysere et stort og komplekst system i én sesjon. Bryt det ned i mindre deler, og gjør det heller litt og ofte. - Begrepsforståelse
Bruk tid på å avklare tekniske begreper, arkitektur og sikkerhetsdefinisjoner. Det kan både senke terskelen for deltakelse og gi bedre diskusjoner. - Vær tydelig på sannsynlighet og konsekvens
Disse begrepene er ofte forhåndsdefinert og varierer mellom organisasjoner. Sørg for at alle legger det samme i dem. - Jobb visuelt
Bruk fargede lapper for ulike kategorier, det gjør det enklere å holde oversikt. - Snacks er obligatorisk :)
Personlig opplever jeg at denne typen workshop gir en tydeligere felles forståelse av både arkitektur og risiko. Den senker terskelen for å snakke om sikkerhet i teamet, og gjør det enklere å prioritere tiltak som faktisk har effekt. Resultatet skal ikke være perfekt på første forsøk - den mentale øvelsen er det viktigste.