Part of: it-sa Expo&Congress 2026 — Intelligence-Driven Cyber Threat Modelling, From Cyber Threat Intelligence to Real-World Defense
Session 03Onsite WorkshopGerman

27 October 2026, 09:30–11:30 und 14:00–16:30 CEST

it-sa Expo&Congress 2026 Nuremberg, Germany

27 October 202609:30–11:30 AND 14:00–16:30 CEST

it-sa Expo&Congress, Raum Lissabon, Ebene 1, NCC Mitte, Nürnberg, Deutschland

it-sa Expo&Congress logo
45 min·Track: Business

Was sind die Business-Treiber für Cyber-Threat-Modelling?

Wie sieht das Format eines Cyber-Threat-Modells aus und wie wird es heute erstellt?

Open-Source Initiative

Learning Content
  • 1) Compliance-Anforderungen erfüllen
  • 2) Risk Management / Risk Mitigation
  • 3) Security Operations (Security Monitoring, Security Investigation und SOC-Analyse, Threat Hunting, Incident Response)
  • 4) Threat-led Penetration Testing (TLPT)
  • 5) Natural Language Threat Scenarios (manuelle Modellierung)
    • 5.1) Beispiel 1: TIBER-EU Targeted Threat Intelligence Report (nicht-formalisiertes Threat-Modell)
    • 5.2) Beispiel 2: STRIDE asset- und system-zentrisches Threat-Modelling ("less-formal" Threat-Modell)
    • 5.3) Beispiel 3: STIX Bundle (formales Threat-Modell)
      • 5.3.1) Kostenfreie IdoubleS Community Edition — STIX Visualizer
    • 5.4) Beispiel 4: TIBER-EU Red Team Test Plan
Target Audience
  • C-Level
  • CISO Office
  • Risk Manager
  • Head of CDC
  • SOC Manager
45 min·Track: Business

Was ist der Zweck eines Cyber-Threat-Modells und welchen Wert liefert es?

IdoubleS/ CrowdStrike Joint-Value-Proposition

Success-Story eines Early-Adopter-Kunden, gemeinsam mit Partnern

Open-Source Initiative

Learning Content
  • 1) Verteidigungsvorbereitung
  • 2) Erfüllung von Compliance-Anforderungen
  • 3) Präemptive Sicherheit
  • 4) Security-Operations (SOC-Reifegrad erhöhen)
    • 4.1) Priorisierung
    • 4.2) Pseudocode ableiten (STIX Patterning), SIEM- und EDR-Detektionsregeln
    • 4.3) SOC-Analyse und Security-Investigations
    • 4.4) Hypothesenformulierung und -prüfung (Threat-Hunting)
    • 4.5) Incident-Response
  • 5) Security-Control-Mapping, Gap-Analyse
  • 6) Adversary-Emulation / Red-Testing
  • 7) IdoubleS/ CrowdStrike Joint-Value-Proposition
  • 8) IdoubleS-CTM-Plattform Value-Proposition, Unique-Selling-Points und Competitive-Advantage
  • 9) Customer-Case-Study und -Testimonial
  • 10) Kostenfreie Webinar-/ Workshop-Reihe 2027 zur Operationalisierung von Threat-Modellen
Target Audience
  • C-Level
  • CISO Office
  • Risk Manager
  • Head of CDC
  • SOC Manager
45 min·Track: Technical

Welche Herausforderungen bestehen heute bei der Erstellung eines Cyber-Threat-Modells und wie lässt sie sich durch den Einsatz von KI verbessern?

Learning Content
  • 1) Natural-Language-Threat-Scenario-Narrativ heute (manuelle Modellierung)
    • 1.1) Beispiel 1: TIBER-EU TTI-Report
    • 1.2) Beispiel 2: STRIDE Application-Threat-Modelling
    • 1.3) Beispiel 3: STIX-Bundle
    • 1.4) Natural-Language-Herausforderungen
      • 1.4.1) Kontext-Identifikation
  • 2) Attack-Graph & Attack-Tree
    • 2.1) Zukunftsausblick — automatisierte Modellierung mithilfe von KI
      • 2.1.1) Large-Language-Models, Prompting
      • 2.1.2) Text-Classification, Named-Entity-Recognition, Relationship-Extraction (Natural-Language-Processing)
  • 3) Vorgeschlagene Lösung (IdoubleS-CTM-Plattform)
    • 3.1) Attack-Lifecycle als threat-zentrischer Attack-Graph auf drei Abstraktionsebenen
      • 3.1.1) Ingestion, Context-Building, TTP-Extraction, CAPEC-Extraction, Cyber-Domain-Entity-Extraction, Relationship-Creation
    • 3.2) Horizontale und vertikale Angriffspfade als asset-zentrische Attack Trees auf mehreren Ebenen
      • 3.2.1) CAPEC, CVE, CWE
    • 3.3) Ableitung von Pseudocode und Detektionsregeln für SIEM und EDR
    • 3.4) Plattform in der Value-Chain
    • 3.5) Plattform-Nutzer
Target Audience
  • Security Consultants
  • Security Analysts
  • Security Investigators
  • Threat Hunter
  • Incident Responder
30 min·Track: Technicalinstruktorgeführte, praxisnahe Hands-on-Übungen

IdoubleS-CTM-Plattform für automatisierte Modellierung mithilfe von KI nutzen

Learning Content
  • 1) Automatisierte Erstellung eines threat-zentrierten Attack-Graphen einschließlich Beziehungen auf Basis einer natürlichsprachlichen Eingabe, zum Beispiel CrowdStrike CSIT-22052, Analysis of Mummy Spider’s Emotet Delivery System.
  • 2) Stichprobenbasierte Analyse der Qualität und Genauigkeit des generierten Attack-Graphen über mehrere Abstraktionsebenen hinweg im Vergleich zu einer manuell definierten Baseline.
Target Audience
  • Security Consultants
  • Security Analysts
  • Security Investigators
  • Threat Hunter
  • Incident Responder
45 min·Track: Technical & Business

Vorstellung des Validierungsansatzes und der Ergebnisse der IdoubleS-CTM-Plattform, gemeinsam mit einem Integrationspartner und einem Early-Adopter-Referenzkunden.

Learning Content
  • 1) Qualitative und quantitative Validierung automatisch generierter, threat-zentrierter Attack-Graphen anhand verschiedener Metriken.
    • 1.1) Experten-validierte Outputs (qualitativ)
      • 1.1.1) Triplet-Bedeutung (source_object --> relationship --> destination_object)
      • 1.1.2) Analytical-Reasoning vs. Hallucination
    • 1.2) Exakte Baseline-Übereinstimmung (quantitativ)
    • 1.3) TTP-Addition-Rate
  • 2) Validierung automatisch abgeleiteter Detektionsregeln für SIEM und EDR
    • 2.1) Etablierte IdoubleS/ SVA-Cloud-Infrastruktur/ -Architektur und gemeinsame Aktivitäten vorstellen
    • 2.2) IdoubleS-Plattform, SIEM, EDR, Endpoints
    • 2.3) Adversary Emulation zur Validierung der Wirksamkeit der erzeugten Detektionsregeln
  • 3) Customer-Case-Study und -Testimonial
Target Audience
  • C-Level
  • CISO Office
  • Risk Manager
  • Head of CDC
  • SOC Manager
  • Security Consultants
  • Security Analysts
  • Security Investigators
  • Threat Hunter
  • Incident Responder

Register

Select sessions *

Webinars (Online)

Workshops (Onsite at it-sa Expo&Congress)