Threat modeling a factory environment using Microsoft Security Development Lifecycle methodology

The number of security violations is increasing and a security breach could have irreversible impacts to business. There are several ways to improve organization security, but some of them may be difficult to comprehend. This thesis demystifies threat modeling as part of secure system development. Threat modeling enables developers to reveal previously undetected security issues from computer systems. It offers a structured approach for organizations to find and address threats against vulnerabilities. When implemented correctly threat modeling will reduce the amount of defects and malicious attempts against the target environment. In this thesis Microsoft Security Development Lifecycle (SDL) is introduced as an effective methodology for reducing defects in the target system. SDL is traditionally meant to be used in software development, principles can be however partially adapted to IT-infrastructure development. Microsoft threat modeling methodology is an important part of SDL and it is utilized in this thesis to find threats from the Acme Corporation’s factory environment. Acme Corporation is used as a pseudonym for a company providing high-technology consumer electronics. Target for threat modeling is the IT-infrastructure of factory’s manufacturing execution system. Microsoft threat modeling methodology utilizes STRIDE –mnemonic and data flow diagrams to find threats. Threat modeling in this thesis returned results that were important for the organization. Acme Corporation now has more comprehensive understanding concerning IT-infrastructure of the manufacturing execution system. On top of vulnerability related results threat modeling provided coherent views of the target system. Subject matter experts from different areas can now agree upon functions and dependencies of the target system. Threat modeling was recognized as a useful activity for improving security.

Tietoturvaloukkausten määrä on kasvussa ja tietoturvamurrolla voi olla peruuttamattomat vaikutukset liiketoimintaan. On olemassa useita tapoja parantaa organisaation tietoturvaa, mutta jotkut niistä saattavat olla vaikeita ymmärtää. Tämä diplomityö tekee ymmärrettäväksi ja selkeyttää uhkamallinnuksen tarkoituksen osana järjestelmän kehitystä. Uhkamallinnus mahdollistaa sen, että kehittäjät pystyvät havaitsemaan aikaisemmin huomaamatta jääneitä tietoturvaongelmia tietokonejärjestelmistä. Se tarjoaa organi-saatioille rakenteellisen lähestymistavan haavoittuvuuksien löytämiseen ja niihin puuttumiseen. Oikein toteutettuna uhkamallintaminen vähentää kohdeympäristön vikoja ja niihin kohdistuvia hyökkäyksiä. Tässä työssä Microsoft Security Development Lifecycle (SDL) esitellään tehokkaana metodologiana kohdejärjestelmän vikojen vähentämiseksi. SDL on perinteisesti tarkoitettu käytettäväksi ohjelmistokehityksessä, mutta sen periaatteita voi kuitenkin soveltaa IT-infrastruktuurin kehittämiseen. Microsoftin uhkamallinnus-metodologia on tärkeä osa SDL:ää ja sitä käytetään tässä työssä uhkien etsimiseen Acme-korporaation tehdasympäristöstä. Acme-korporaatiota käytetään tässä työssä salanimenä yritykselle, joka valmistaa korkean teknologian loppukäyttäjä-elektroniikkaa. Uhkamallinnuksen kohteena on tehtaan tuotannonohjausjärjestelmän IT-infrastruktuuri. Microsoftin uhkamallinnus-metodologia hyödyntää STRIDE-tekniikkaa sekä data flow -diagrammeja uhkien paikantamiseen. Uhkamallintaminen tässä työssä tuotti tuloksia, jotka olivat kohdeorganisaatiolle tärkeitä. Acme-korporaatiolla on nyt kattavampi käsitys tehtaan tuotannonohjausjärjestelmän IT-infrastruktuurista. Tietoturvauhkiin liittyvien tulosten lisäksi uhkamallinnus tuotti yhtenäisen kuvauksen kohdejärjestelmästä. Eri osa-alueiden ammattilaiset voivat nyt olla yhtä mieltä järjestelmän toiminnallisuuksista sekä erilaisista toiminnan riippuvuuksista. Uhkamallinnus todettiin hyödylliseksi tietoturvan kehittämisessä.