Treffen Sie uns vom 20. bis zum 22. Januar auf der Omnisecure 2025 in Berlin und hören Sie unseren Vortrag zu SDN und Verschlusssachen.

Risikoanalyse

Unsere quantitative, objektive und reproduzierbare Methode

Circle Networks' “Surface”-Methode zur Risikobewertung ist eine Weiterentwicklung von Angriffs- und Verteidigungsbäumen indem die grobe und arbiträre Bewertung von Schwachstellen durch belastbare, quantitative Prinzipien ersetzt werden und die Entwicklung von Lösungskonzepten aus kosteneffizienten Kombinationen von Gegenmaßnahmen unterstützt wird. Die Methode erfüllt die Anforderungen der Standards NIST SP 800-39 und ISO-27005 zu Risikoidentifikation.

Lesen Sie das White-Paper

Titelseite und eine Seite des White-Papers zu Surface

Erstmalige Erstellung

Angriffsbäume

Das numerische Verfahren erlaubt die abgestufte Bewertung von Risiken sowie von möglichen Gegenmaßnahmen und analysiert, wie sich diese entlang der Angriffsbäume auswirken. Szenarien können reproduzierbar verglichen werden und die Ergebnisse können eingängig visualisiert oder nach Wunsch wieder in eine Risikomatrix übertragen werden. Die “Surface”-Methode schafft somit ein Werkzeug für die strukturierte, formalisierte Entwicklung von Produkten der Informationstechnik — sei es Software oder Hardware — aber auch für die Überwachung jeglicher Art von Anlagen.

Kontinuierliche Überwachung

Szenarien und Änderungen

Veränderungen in der Situation können einfach bewertet werden. Wenn eine neue Schwachstelle entdeckt wird, kann der Effekt auf das zu schützende System direkt durch Anpassung des Modells berechnet werden. Parallel dazu können Gegenmaßnahmen identifiziert oder aktiviert werden. Die verschiedenen Fälle können als Szenarien in einem Modell gepflegt und einfach mit einander verglichen werden. Das Modell eignet sich dadurch besonders für die kontinuierliche Pflege der Risikobewertung.

Vorteile

Belastbare Anwendung

Die “Surface”-Methode macht die Risikobewertung

  • strukturiert, indem Schwachstellen entlang der Angriffsbäume identifiziert werden und die Vollständigkeit der Analyse bewertet werden kann,
  • reproduzierbar, indem die Berechnung kontinuierlich und automatisiert wiederholt werden kann,
  • objektiviert und anfechtbar, indem die einzelnen Bewertungen der Schwachstellen und Effektivitäten festgehalten werden und jederzeit angepasst werden können, und
  • kontrollierbar, indem eine Sensitivitätsanalyse Information über die Empfindlichkeit der Ergebnisse für die initialen, arbiträren Bewertungen und somit über die Plausibilität der Ergebnisse liefert.