OWASP Cyber Defense Matrix

Als 2018/19 der Hype um die Security-Tools begann, haben wir bei EACG die EACG Security Matrix entwickelt, um uns einen Überblick über den Markt zu  verschaffen. Dabei haben wir das Attack-Surface auf der einen Seite einem erweiterten Security-Prozess in der zweiten Dimension gegenüber gestellt. Hierdurch wurde es möglich, die Werkzeuge und ihre Wirkungsweise gegeneinander abzugrenzen und Ordnung zu schaffen.

Dieses Prinzip hat zu fast gleicher Zeit in einer etwas vereinfachten Version in den USA als Cyber Defense Matrix Fuß gefasst. Anstelle der durchaus technischen Gliederung findet das Attack-Surface in der Cyber Defense Matrix eine einfache, objektbezogene Repräsentation anhand folgender Objekte:

• Device ( oder auch Endpoint)
• Network
• Application
• Data
• User (incl. Organisation)

Während wir die Einteilung des Attack-Surfaces mit Hilfe der Schichten des OSI-Modells, erweitert um organisatorische Dimensionen entwickelt hatten, eignet sich diese vergleichsweise „vereinfachte“ Darstellung auch im Umgang mit Nicht-Technikern wesentlich besser.

Die Nutzung des NIST-Security Prozesses mit den Phasen

• Identify
• Protect
• Detect
• Respond
• Recover

zur Abgrenzung der Aktivitäts-Dimension erscheint ebenfalls hinreichend einfach, um schnell einem breiten Publikum Zugang zu den Erkenntnissen zu eröffnen. Zwar fehlt noch die aus Lebenszyklus-Sicht wichtige Perspektive „Retire“, das lässt sich aber in die Cyber-Defense-Matrix genauso ergänzen, wie in unserem ursprünglichen Modell auch. Wir nutzen die OWASP Cyber-Defense-Matrix für folgende Anwendungsfälle:

• Identifikation der Schwerpunkte für eine Business Impact Analyse,
• Kartographieren von Risiken und Bestimmen von Aktionsschwerpunkten im Kontext eines Sicherungsprojektes,
• Erzeugen von Ressourcen-Effizienz im Kontext komplexer Organisationen,
• Sortieren von Bedrohungen und Bedrohungskategorien,
• Abbilden von Werkzeug-Kompetenzen, bzw. identifizieren geeigneter Werkzeuge (s.a. Security Landscape),