1239

جزئیات وبلاگ

shape
shape
shape
shape
shape
shape
shape
1394/09/19 - مقالات

مدل سازی تهدید


معرفی

مدل سازی تهدید یک رویکرد برای تجزیه و تحلیل امنیت یک نرم افزار است. این یک رویکرد ساختار یافته است که شما را قادر به شناسایی، تعیین کمیت، و پرداختن به خطرات امنیتی مرتبط با یک برنامه است. مدل سازی تهدید است رویکرد به بررسی کد نیست، اما آن را تکمیل فرایند بررسی کد امنیتی. گنجاندن مدل سازی تهدید در SDLC می تواند کمک به اطمینان حاصل شود که برنامه های کاربردی هستند که با امنیت ساخته شده در از همان ابتدا توسعه یافته است. این، همراه با اسناد و مدارک تولید به عنوان بخشی از فرایند مدل سازی تهدید، می توانید بررسی درک بیشتری از سیستم می دهد. این اجازه می دهد تا بررسی برای دیدن جایی که نقاط ورود به نرم افزار می باشد و تهدیدات مرتبط با هر نقطه ورود. مفهوم مدل سازی تهدید است که جدید نیست اما تا به تغییر طرز فکر روشن در سال های اخیر وجود دارد. مدل سازی تهدید مدرن به نظر می رسد در یک سیستم از دیدگاه یک مهاجم بالقوه، به عنوان به نظر مدافع مخالف است. مایکروسافت مدافعان قوی از روند بیش از تعداد سال گذشته بوده است. آنها تهدید مدل سازی یک جزء اصلی از SDLC خود را، که آنها ادعا می کنند یکی از دلایل برای امنیت محصولات خود را افزایش در سال های اخیر ساخته شده اند.

هنگامی که تجزیه و تحلیل کد منبع در خارج از SDLC، از جمله در برنامه های موجود انجام، نتایج حاصل از تهدید مدل سازی به کمک در کاهش پیچیدگی تجزیه و تحلیل کد منبع با ترویج یک روش اول در عمق در مقابل وسعت روش اول. به جای مرور کد منبع با تمرکز برابر، شما می توانید بررسی کد امنیتی که از اجزای مدل سازی تهدید با تهدید در معرض خطر قرار گرفت اولویت قرار دهد.

فرآیند مدل سازی تهدید را می توان به 3 مرحله سطح بالا تجزیه می شود:

مرحله 1: تجزیه نرم افزار. اولین گام در فرایند مدل سازی تهدید با به دست آوردن درک درستی از نرم افزار و چگونه آن را با موجودیتهای خارجی تعامل نگران است. این شامل ایجاد استفاده از موارد به درک که چگونه نرم افزار استفاده می شود، شناسایی نقاط ورود به ببینید که در آن یک مهاجم بالقوه تواند با نرم افزار ارتباط برقرار، شناسایی دارایی یعنی اقلام / مناطق که مهاجم خواهد بود علاقه مند، و شناسایی سطوح اعتماد که نشان دهنده حقوق دسترسی که کاربرد آن به اشخاص خارجی عطا کند. این اطلاعات در سند مدل تهدید مستند و آن را نیز به تولید نمودار جریان داده (DFDS) برای نرم افزار استفاده می شود. DFDS نشان دادن مسیرهای مختلف از طریق سیستم، برجسته مرزهای امتیاز است.

گام 2: تعیین و رتبه بندی تهدیدات. انتقادی به شناسایی تهدیدات با استفاده از یک روش طبقه بندی تهدید. طبقه بندی خطر مانند STRIDE می تواند استفاده شود، یا قاب برنامه امنیتی (ASF) که دسته خطر مانند حسابرسی و جنگلداری، تأیید هویت، اختیار، مدیریت پیکربندی، حفاظت از داده ها برای ذخیره سازی و حمل و نقل، اعتبار سنجی داده ها، مدیریت استثنا تعریف می کند. هدف از طبقه بندی تهدید است برای کمک به شناسایی تهدیدات از مهاجم (STRIDE) و دیدگاه های دفاعی (ASF). DFDS تولید شده در مرحله 1 کمک به شناسایی اهداف تهدید بالقوه از دیدگاه مهاجم، مانند منابع داده ها، فرایندهای، جریان داده، و تعامل با کاربران است. این تهدیدات می تواند بیشتر به عنوان ریشه برای درختان تهدید شناسایی شده؛ است یک درخت برای هر هدف تهدید وجود دارد. از منظر دفاعی، طبقه بندی ASF کمک می کند تا برای شناسایی تهدیدات به عنوان نقاط ضعف کنترل های امنیتی برای چنین تهدید. مشترک تهدید لیست با نمونه می توانید در شناسایی چنین تهدید کمک کند. استفاده و سوء استفاده می نشان دادن چگونگی اقدامات حفاظتی موجود را می توان دور زد، یا که در آن یک فقدان چنین محافظتی وجود ندارد. تعیین خطر امنیتی برای هر تهدید می توان با استفاده از مدل خطر مبتنی بر ارزش مانند DREAD و یا یک مدل ریسک کیفی کم و بر اساس عوامل خطر عمومی (مثل احتمال و تاثیر) تعیین می شود.

مرحله 3: تعیین اقدامات متقابل و کاهش. عدم محافظت در برابر یک تهدید ممکن است یک آسیب پذیری که قرار گرفتن در معرض خطر می تواند با اجرای اقدام متقابل کاهش نشان می دهد. چنین اقدامات متقابل می توان با استفاده از لیست نقشه برداری تهدید متقابل شناخته شده است. هنگامی که یک رتبه بندی خطر به تهدیدات اختصاص داده، آن ممکن است برای مرتب تهدید از بالاترین به پایین ترین خطر، و اولویت بندی تلاش کاهش، مانند با پاسخ به چنین تهدید با استفاده از اقدامات متقابل شناخته شده است. استراتژی کاهش ریسک ممکن است شامل ارزیابی این تهدید از تاثیر کسب و کار که آنها را مطرح و کاهش خطر. گزینه های دیگر ممکن است شامل در نظر گرفتن خطر، با فرض تاثیر کسب و کار به دلیل کنترل جبران قابل قبول است، اطلاع رسانی به کاربر از تهدید، از بین بردن خطر ناشی از تهدید به طور کامل، و یا حداقل گزینه ارجح است، که، به انجام هیچ چیز.

هر یک از مراحل فوق مستند به عنوان آنها انجام می شود. سند به دست آمده از مدل تهدیدی برای نرم افزار است. این راهنما به یک مثال برای کمک به توضیح مفاهیم پشت مدل سازی تهدید استفاده میکنند. همان مثال خواهد شد در سراسر هر یک از 3 مرحله به عنوان کمک آموزش استفاده می شود. به عنوان مثال که استفاده می شود وب سایت کتابخانه دانشگاه است. در پایان راهنمای ما خواهد شد که مدل تهدید برای وب سایت کتابخانه کالج. هر یک از مراحل در فرایند مدل سازی تهدید در جزئیات شرح زیر است.

تجزیه نرم افزار

هدف از این مرحله این است که برای به دست آوردن درک درستی از نرم افزار و چگونه آن را با موجودیتهای خارجی در تعامل است. این هدف با جمع آوری اطلاعات و اسناد به دست آورد. فرایند جمع آوری اطلاعات با استفاده از یک ساختار به وضوح تعریف شده، که تضمین اطلاعات صحیح جمع آوری شده است انجام شده است. این ساختار نیز تعریف چگونه اطلاعات باید مستند به تولید مدل تهدید است.

تهدید مدل اطلاعات

اولین مورد در مدل تهدید اطلاعات مربوط به مدل تهدید است. این باید شامل موارد زیر باشد:

1.       نام نرم افزار - نام نرم افزار است.

2.       نسخه نرم افزار - نسخه از نرم افزار.

3.       توضیحات - شرح سطح بالا از برنامه.

4.       سند مالک - صاحب سند مدل سازی تهدید.

5.       شرکت کنندگان - شرکت کنندگان درگیر در فرایند مدل سازی تهدید برای این برنامه.

6.       داور - داور (بازدید کنندگان) این مدل را تهدید کند. 

مثال: 

تهدید مدل اطلاعات

نسخه نرم افزار:

1.0

توضیحات:

وب سایت کتابخانه کالج اولین پیاده سازی یک وب سایت به ارائه کتابداران و کاربران کتابخانه (دانش آموزان و کارکنان کالج) با خدمات آنلاین است.

از آنجا که این اولین پیاده سازی وب سایت است، قابلیت های محدود خواهد بود. وجود خواهد داشت سه کاربران از نرم افزار: 
1. دانش آموزان 
2. کارکنان 
3. کتابداران 

کارکنان و دانش آموزان قادر خواهد بود برای ورود و جستجو برای کتاب، و کارکنان می توانید کتاب را درخواست کنید. کتابداران قادر خواهد بود برای ورود، اضافه کردن کتاب، اضافه کردن کاربران، و جستجو برای کتاب.

صاحب سند:

دیوید لوری

شركت كنندگان:

دیوید رخ

بازبین:

ها Eoin Keary

 

وابستگی خارجی

وابستگی خارجی آیتم های خارجی به کد برنامه ای که ممکن است یک تهدید به نرم افزار مطرح می باشد. این آیتم ها به طور معمول هنوز در کنترل سازمان هستند، اما در کنترل تیم توسعه احتمالا نمی کند. منطقه اول، به هنگام بررسی وابستگی خارجی این است که چگونه نرم افزار خواهد شد در یک محیط تولید مستقر نگاه کنید، و الزامات اطراف این چه هستند. این شامل دنبال چگونه از نرم افزار است و یا در نظر گرفته شده برای اجرا می شود. به عنوان مثال اگر برنامه انتظار می رود در سرور است که به استاندارد سخت شدن سازمان سخت اجرا می شود و انتظار می رود به پشت یک دیوار آتش، و سپس این اطلاعات باید در بخش وابستگی خارجی مستند نشستن. وابستگی خارجی باید به شرح زیر مستند:

1.       ID - ID منحصر به فرد اختصاص داده شده به وابستگی خارجی.

2.       توضیحات - شرح متنی از وابستگی خارجی.


مثال: 

وابستگی خارجی

شناسایی

توضیحات

1

وب سایت کتابخانه کالج بر روی سرور لینوکس آپاچی در حال اجرا اجرا خواهد شد. این سرور به عنوان سرور در هر استاندارد سخت شدن کالج سخت شده است. این شامل استفاده از آخرین سیستم عامل و امنیت نرم افزار تکه.

2

سرور پایگاه داده خروجی زیر خواهد بود و آن را بر روی سرور لینوکس اجرا خواهد شد. این سرور به عنوان سرور در هر استاندارد سخت شدن کالج سخت شده است. این نرم افزار از آخرین سیستم عامل و امنیت نرم افزار تکه باشد.

3

ارتباط بین وب سرور و سرور پایگاه داده خواهد شد بیش از یک شبکه خصوصی باشد.

4

وب سرور شما در پشت یک دیوار آتش و تنها ارتباطی در دسترس TLS است.

 

ورود امتیاز

نقاط ورود رابط که از طریق آن می توانید مهاجمان احتمالی با نرم افزار ارتباط برقرار و یا عرضه آن را با داده را تعریف کنیم. برای این که یک مهاجم بالقوه برای حمله به یک برنامه، نقاط ورود باید وجود داشته باشد. نقاط ورود در یک برنامه را می توان لایه، برای مثال هر صفحه وب در یک برنامه تحت وب ممکن است نقاط ورود متعدد باشد. نقاط ورود باید به شرح زیر مستند:

1.       ID - ID منحصر به فرد اختصاص داده شده به نقطه ورود. این استفاده می شود برای مرجع صلیب نقطه ورود با هر گونه تهدید و یا آسیب پذیری که شناسایی شده اند. در مورد نقاط ورود لایه، یک نماد major.minor باید استفاده شود.

2.       نام - یک نام توصیفی شناسایی نقطه ورود و هدف آن است.

3.       توضیحات - شرح متنی جزئیات تعامل و یا پردازش که در نقطه ورود رخ می دهد.

4.       سطوح اعتماد - سطح دسترسی مورد نیاز در نقطه ورود است در اینجا مستند شده است. این خواهد شد متقاطع با سطوح تراست بعد در سند تعریف اشاره شده است.


مثال: 

ورود امتیاز

شناسایی

نام

توضیحات

سطح اعتماد

1

HTTPS بندر

وب سایت کتابخانه کالج خواهد شد تنها از طریق TLS در دسترس باشد. همه صفحات در وب سایت کتابخانه کالج ها در این نقطه ورود لایه است.

(1) ناشناس وب کاربر 
<![if !supportLineBreakNewLine]>

(2) کاربر با اعتبار ورود معتبر 
(3) کاربر با اعتبار ورود نامعتبر است 
(4) کتابداری و اطلاع رسانی 

1.1

صفحه اصلی کتابخانه

صفحه چلپ چلوپ برای وب سایت کتابخانه کالج نقطه ورود برای همه کاربران است.

(1) ناشناس وب کاربر 
<![if !supportLineBreakNewLine]>

(2) کاربر با اعتبار ورود معتبر 
(3) کاربر با اعتبار ورود نامعتبر است 
(4) کتابداری و اطلاع رسانی 

1.2

ورود به صفحه

دانشجویان، اعضای هیات علمی و کتابداران باید به وب سایت کتابخانه کالج ورود به سیستم قبل از آنها می توانید انجام هر گونه از موارد استفاده است.

(1) ناشناس وب کاربر 
<![if !supportLineBreakNewLine]>

(2) کاربر با اعتبار ورود 
(3) کاربر با اعتبار ورود نامعتبر است 
(4) کتابداری و اطلاع رسانی 

1.2.1

تابع ورود

تابع اعتبار ورود کاربران عرضه می پذیرد و آنها را مقایسه با کسانی که در پایگاه داده.

(2) کاربر با اعتبار ورود معتبر 
(3) کاربر با اعتبار ورود نامعتبر است 

(4) کتابداری و اطلاع رسانی

1.3

جستجو ورود صفحه

صفحه استفاده می شود پرس و جو جستجو را وارد کنید.

(2) کاربر با اعتبار ورود معتبر 

(4) کتابداری و اطلاع رسانی

 

دارایی ها

سیستم باید چیزی است که مهاجم علاقه مند است دارند. این آیتم ها / زمینه های مورد علاقه به عنوان دارایی تعریف شده است. دارایی اساسا اهداف تهدید، یعنی آنها دلیل تهدیدات وجود دارند خواهد شد. دارایی می تواند هر دو دارایی های فیزیکی و دارایی های انتزاعی. به عنوان مثال، یک دارایی از یک نرم افزار ممکن است یک لیست از مشتریان و اطلاعات شخصی خود را؛ این یک دارایی فیزیکی است. یک دارایی انتزاعی ممکن است شهرت یک سازمان است. دارایی در مدل تهدید به شرح زیر مستند:

1.       ID - ID منحصر به فرد اختصاص داده شده است برای شناسایی هر دارایی. این استفاده می شود برای عبور مرجع دارایی با هر گونه تهدید و یا آسیب پذیری که شناسایی شده اند.

2.       نام - یک نام توصیفی که به وضوح شناسایی دارایی.

3.       توضیحات - شرح متنی از آنچه دارایی است و به همین دلیل به آن نیاز دارد به آن محافظت شود.

4.       سطوح اعتماد - سطح دسترسی مورد نیاز برای دسترسی به نقطه ورود اینجا مستند شده است. این خواهد شد متقاطع با سطح اعتماد تعریف شده در گام بعدی اشاره شده است.


مثال: 

دارایی ها

شناسایی

نام

توضیحات

سطح اعتماد

1

کاربران کتابخانه و کتابدار

دارایی های مربوط به دانش آموزان، اعضای هیات علمی و کتابداران.

1.1

اطلاعات ورود کاربر

اعتبار ورود که یک دانش آموز و یا یک عضو هیات علمی برای ورود به وب سایت کتابخانه کالج استفاده خواهد کرد.

(2) کاربر با اعتبار ورود معتبر 
(4) کتابداری و اطلاع رسانی 
(5) مدیر پایگاه داده و سرور 
(7) وب سایت و سرور فرایند کاربر 
(8) پایگاه داده های خوانده شده 
(9) پایگاه خواندن / نوشتن کاربر

1.2

کتابداری و اطلاع رسانی اطلاعات ورود

اعتبار ورود که کتابدار برای ورود به وب سایت کتابخانه کالج استفاده خواهد کرد.

(4) کتابداری و اطلاع رسانی 
(5) مدیر پایگاه داده و سرور 
(7) وب سایت و سرور فرایند کاربر 
(8) پایگاه داده های خوانده شده 
(9) پایگاه خواندن / نوشتن کاربر

1.3

اطلاعات شخصی

وب سایت کتابخانه کالج اطلاعات شخصی مربوط به دانش آموزان، اعضای هیئت علمی، کتابداران و ذخیره کنید.

(4) کتابداری و اطلاع رسانی 
(5) مدیر پایگاه داده و سرور 
(6) مدیر وب سایت 
(7) وب سایت و سرور فرایند کاربر 
(8) پایگاه داده های خوانده شده 
(9) پایگاه خواندن / نوشتن کاربر

2

سیستم

دارایی های مربوط به سیستم زمینه ای است.

2.1

در دسترس بودن کتابخانه دانشگاه وب سایت

وب سایت کتابخانه کالج باید در دسترس باشد 24 ساعت شبانه روز و می تواند توسط همه دانش آموزان، اعضای هیئت علمی دانشگاه، و کتابداران قابل دسترسی است.

(5) مدیر پایگاه داده و سرور 
(6) مدیر وب سایت 

2.2

قابلیت اجرای کد به عنوان یک وب سرور کاربر

این توانایی اجرای کد منبع بر روی وب سرور به عنوان یک کاربر وب سرور است.

(6) مدیر وب سایت 
(7) وب سایت و سرور فرایند کاربر 

2.3

توانایی اجرای SQL به عنوان یک پایگاه خوانده شده

این توانایی اجرای SQL نمایش داده شد را انتخاب کنید در پایگاه داده، و در نتیجه بازیابی هر گونه اطلاعات ذخیره شده در پایگاه داده کتابخانه کالج است.

(5) مدیر پایگاه داده و سرور 
(8) پایگاه داده های خوانده شده 
(9) پایگاه خواندن / نوشتن کاربر 

2.4

توانایی اجرای SQL به عنوان یک پایگاه خواندن / نوشتن کاربر

این توانایی اجرای SQL است. SELECT، INSERT، و به روز رسانی نمایش داده شد در پایگاه داده و در نتیجه خواندن و نوشتن دسترسی به هر اطلاعات ذخیره شده در پایگاه داده کتابخانه کالج.

(5) مدیر پایگاه داده و سرور 
(9) پایگاه خواندن / نوشتن کاربر 

3

سایت اینترنتی

دارایی های مربوط به وب سایت کتابخانه کالج.

3.1

ورود به جلسه

این نشست ورود به سیستم از یک کاربر به وب سایت کتابخانه کالج است. این کاربر می تواند یک دانش آموز، یک عضو هیات علمی دانشگاه و یا یک کتابدار.

(2) کاربر با اعتبار ورود معتبر 
(4) کتابداری و اطلاع رسانی 

3.2

دسترسی به پایگاه داده سرور

دسترسی به سرور پایگاه داده اجازه می دهد تا شما را به اداره پایگاه داده، به شما دسترسی کامل به کاربران پایگاه داده و همه داده های موجود در پایگاه داده.

(5) مدیر پایگاه داده و سرور 

3.3

توانایی ایجاد کاربر

توانایی ایجاد کاربران اجازه می دهد یک فرد به ایجاد کاربران جدید بر روی سیستم. این می تواند کاربران دانشجویی، کاربران عضو هیات علمی، و کاربران کتابدار.

(4) کتابداری و اطلاع رسانی 
(6) مدیر وب سایت 

3.4

دسترسی به داده حسابرسی

داده های ممیزی تمام وقایع حسابرسی قادر است که در داخل نرم افزار کتابخانه کالج های دانش آموزان، کارکنان و کتابداران رخ داده است نشان می دهد.

(6) مدیر وب سایت 

 

سطح اعتماد

سطح اعتماد نشان دهنده حقوق دسترسی که کاربرد آن به اشخاص خارجی عطا کند. سطح اعتماد متقابل با نقاط ورود و دارایی های اشاره شده است. این به ما اجازه به تعریف حقوق دسترسی و امتیازات مورد نیاز در هر نقطه ورود، و کسانی که نیاز برای تعامل با هر یک از دارایی. سطح اعتماد در مدل تهدید به شرح زیر مستند:

1.       ID - شماره منحصر به هر سطح اعتماد اختصاص داده است. این استفاده می شود مرجع صلیب سطح اعتماد با نقاط ورود و دارایی.

2.       نام - یک نام توصیفی که اجازه می دهد تا شما را به شناسایی موجودیتهای خارجی که این سطح اعتماد اعطا شده است.

3.       توضیحات - شرح متنی از سطح اعتماد جزئیات موجودیت خارجی است که سطح اعتماد اعطا شده است.


مثال: 

سطح اعتماد

شناسایی

نام

توضیحات

1

ناشناس وب کاربر

یک کاربر که به دانشگاه وب سایت کتابخانه متصل است، اما اعتبار معتبر ارائه نشده است.

2

کاربر با اعتبار ورود معتبر

یک کاربر که به دانشگاه وب سایت کتابخانه وصل باشد و در استفاده از اعتبار ورود معتبر وارد سایت شوید.

3

کاربر با اعتبار ورود نامعتبر است

یک کاربر که به دانشگاه وب سایت کتابخانه متصل شده و در تلاش است برای ورود به سیستم با استفاده از اعتبار ورود نامعتبر است.

4

کتابدار

کتابدار می تواند کاربران را در وب سایت کتابخانه ایجاد و مشاهده اطلاعات شخصی خود را.

5

پایگاه مدیر سرور

پایگاه داده سرور است خواندن و نوشتن دسترسی به پایگاه داده است که توسط وب سایت کتابخانه کالج استفاده می شود.

6

مدیر وب سایت

مدیر وب سایت می توانید به وب سایت کتابخانه کالج پیکربندی کنید.

7

وب سایت و سرور فرایند کاربر

این روند / کاربر که سرور وب اجرا کد عنوان و خود را در برابر سرور پایگاه داده به عنوان اعتبار است.

8

پایگاه خوانده شده

حساب کاربری پایگاه داده استفاده برای دسترسی به پایگاه داده برای دسترسی به عنوان خوانده شده.

9

پایگاه خواندن / نوشتن کاربر

حساب کاربری پایگاه داده مورد استفاده برای دسترسی به پایگاه داده برای خواندن و نوشتن.

 

دیاگرام های جریان داده

همه از اطلاعات جمع آوری اجازه می دهد تا ما را به دقت مدل برنامه را از طریق استفاده از دیاگرام های جریان داده (DFDS). DFDS ما اجازه خواهد داد برای به دست آوردن درک بهتر از نرم افزار با ارائه یک نمایش تصویری از چگونه داده فرآیندهای نرم افزار. تمرکز از DFDS در مورد چگونه داده ها از طریق برنامه حرکت است و چه اتفاقی می افتد به عنوان داده های آن حرکت می کند. DFDS سلسله مراتبی در ساختار، به طوری که آنها می تواند مورد استفاده برای تجزیه نرم افزار به زیر سیستم ها و زیر سیستم های سطح پایین تر. سطح بالای DFD ما اجازه خواهد داد برای روشن از محدوده برنامه های مدل سازی. تکرار سطح پایین تر به ما اجازه خواهد بر روی فرآیندهای خاص درگیر هنگام پردازش داده خاص تمرکز. تعدادی از نمادها که در DFDS برای مدل سازی تهدید استفاده می شود. این شرح است:

خارجی نهاد 
شکل نهاد خارجی استفاده می شود برای نشان دادن هر نهاد در خارج از برنامه ای که با برنامه از طریق یک نقطه ورود در تعامل است. 

DFD entity.gif خارجی  

فرآیند 
شکل روند نشان دهنده یک کار است که داده های دسته داخل نرم افزار. این کار ممکن است داده ها را پردازش یا انجام عمل بر اساس داده. 

process.gif DFD 

فرآیند های متعدد 
شکل فرآیند های متعدد است برای ارائه مجموعه ای از میابند استفاده می شود. روند های مختلف را می توان به میابند خود را در یکی دیگر از
DFD شکسته. 

DFD process.gif چند 

فروشگاه داده 
شکل ذخیره داده استفاده می شود برای نشان مکان که در آن داده های ذخیره شده است. فروشگاه های داده انجام داده را تغییر دهید، آنها تنها اطلاعات ذخیره کنند. 

DFD store.gif داده 


گردش داده ها 
شکل جریان داده ها نشان دهنده حرکت داده ها در نرم افزار. جهت حرکت داده شده است توسط فلش
​​نشان داده است. 

DFD flow.gif داده 

امتیاز مرز 
شکل مرز امتیاز استفاده شده است به نمایندگی از تغییر سطح امتیاز به عنوان جریان داده از طریق نرم افزار. 

DFD privilge boundary.gif 

 

مثال


داده نمودار جریان برای وب سایت کتابخانه کالج 

flow1.jpg داده 

ورود کاربر داده نمودار جریان برای وب سایت کتابخانه کالج 

flow2.jpg داده 

تعیین و رتبه تهدید

دسته بندی تهدید

اولین گام در تعیین تهدید است اتخاذ یک طبقه بندی تهدید. طبقه بندی تهدید مجموعه ای از دسته تهدید با نمونه مربوطه به طوری که تهدیدات را می توان به طور سیستماتیک در نرم افزار به شیوه ای سازمان یافته و تکرار مشخص را فراهم می کند.

STRIDE

طبقه بندی خطر مانند STRIDE در شناسایی تهدیدات مفید است با طبقه بندی اهداف مهاجم مانند:

·         حقه بازی

·         دستکاری

·         انکار

·         افشای اطلاعات

·         خود داری از خدمات

·         ارتفاع از امتیاز.

لیست تهدید تهدید عمومی سازمان در این دسته بندی ها با مثال ها و کنترل های امنیتی آسیب دیده است که در جدول زیر ارائه شده:

 

فهرست تهدید STRIDE

نوع

نمونه

کنترل امنیت

حقه بازی

عمل تهدید با هدف به طور غیر قانونی دسترسی و استفاده از اعتبار یک کاربر دیگر است، مانند نام کاربری و رمز عبور.

احراز هویت

دستکاری

عمل تهدید هدف بدتر تغییر دهید / تغییر داده های ماندگار، مانند داده های پایدار در یک پایگاه داده، و تغییر داده ها در حمل و نقل بین دو کامپیوتر بیش از یک شبکه باز، مانند اینترنت می باشد.

تمامیت

انکار

عمل تهدید با هدف انجام عملیات غیر قانونی در یک سیستم است که فاقد توانایی برای ردیابی عملیات ممنوع است.

انکارناپذیری

افشای اطلاعات

اقدام تهدیدی برای خواندن یک فایل که دسترسی به داده نشود، و یا به خواندن داده ها در حمل و نقل.

محرمانه

خود داری از خدمات

تهدید هدف جلوگیری از دسترسی به کاربران معتبر، از جمله از طریق یک وب سرور به طور موقت در دسترس نیست و یا غیر قابل استفاده.

در دسترس بودن

ارتفاع از امتیاز

تهدید هدف به دست آوردن دسترسی به منابع برای به دست آوردن دسترسی غیر مجاز به اطلاعات و یا به مصالحه یک سیستم.

اجازه

 

کنترل های امنیتی

هنگامی که عوامل خطر عمومی و اثرات کسب و کار درک، تیم بررسی باید سعی کنید به شناسایی مجموعه ای از کنترل است که می تواند این عوامل تهدید از آن باعث اثرات جلوگیری می کند. تمرکز اصلی بررسی کد باید به اطمینان حاصل شود که این کنترل های امنیتی در محل هستند، که آنها به درستی کار، و که آنها به درستی در تمام نقاط لازم استناد شده است. چک لیست زیر می تواند کمک به اطمینان حاصل شود که تمام خطرات احتمال در نظر گرفته شده است.

احراز هویت:

·         اطمینان از تمام اتصالات داخلی و خارجی (برای کاربران و نهاد) را از طریق فرم مناسب و کافی از احراز هویت است. مطمئن باشید که این کنترل قابل رد شدن نیست.

·         اطمینان از تمام صفحات اعمال مورد نیاز برای احراز هویت.

·         اطمینان حاصل شود که هر زمان که اعتبارنامه احراز هویت و یا هر گونه اطلاعات حساس دیگر منتقل شده است، تنها اطلاعاتی که از طریق HTTP روش 'POST' قبول و آن را از طریق HTTP روش 'GET' قبول نمی کند.

·         هر صفحه را با کسب و کار و یا تیم توسعه به عنوان خارج از محدوده احراز هویت تلقی می شود که به منظور بررسی احتمال نقض امنیتی بررسی می شود.

·         اطمینان حاصل شود که اعتبارنامه احراز هویت آیا سیم به صورت متن روشن گذشتن است.

·         اطمینان از توسعه / اشکال زدایی درب پشتی در حال حاضر در کد تولید نیست.

مجوز:

·         اطمینان حاصل شود که مکانیسم مجوز در محل وجود دارد.

·         اطمینان حاصل شود که برنامه به وضوح انواع کاربر و حقوق گفت: کاربران تعریف شده است.

·         اطمینان است موضع حداقل امتیاز در عمل وجود دارد.

·         اطمینان حاصل شود که مکانیسم مجوز به درستی کار، شکست و ایمن، و نمی تواند دور شود.

·         اطمینان حاصل شود که مجوز در هر درخواست بررسی می شود.

·         اطمینان از توسعه / اشکال زدایی درب پشتی در حال حاضر در کد تولید نیست.

مدیریت کوکی:

·         اطمینان حاصل شود که اطلاعات حساس تشکیل شده است نمی باشد.

·         اطمینان حاصل شود که فعالیت های غیر مجاز می تواند از طریق دستکاری کوکی را ندارد.

·         اطمینان حاصل شود که کد گذاری مناسب در حال استفاده است.

·         اطمینان از پرچم امن قرار است برای جلوگیری از انتقال تصادفی بیش از 'سیم' به شیوه ای غیر امن.

·         تعیین اگر همه انتقال دولت در کد برنامه به درستی برای کوکی ها را بررسی و اجرای استفاده از آنها.

·         اطمینان از جلسه داده است که تایید شده است.

·         اطمینان از کوکی ها حاوی اطلاعات خصوصی را به عنوان کوچک که ممکن است.

·         اطمینان از تمام کوکی رمزگذاری شده است اگر اطلاعات حساس را در کوکی همچنان ادامه داشت.

·         تعریف تمام کوکی ها توسط نرم افزار، نام خود را استفاده می شود، و به همین دلیل آنها مورد نیاز است.

داده ها اعتبار / ورودی:

·         اطمینان حاصل شود که یک مکانیسم DV موجود است.

·         اطمینان از تمام ورودی است که می تواند (و) که توسط یک کاربر مخرب مانند هدرهای HTTP، زمینه های ورودی، زمینه های پنهان اصلاح شده، رها کردن لیست، و دیگر قطعات وب به درستی تایید شده است.

·         اطمینان حاصل شود که چک طول مناسب در تمام ورودی وجود داشته باشد.

·         اطمینان حاصل شود که تمام زمینه ها، کوکی ها، هدر HTTP / بدن، و زمینه های شکل معتبر می باشند.

·         اطمینان حاصل شود که داده ها به خوبی شکل گرفته است و تنها حاوی کاراکتر خوب در صورت امکان شناخته شده است.

·         اطمینان حاصل شود که اعتبار سنجی داده ها در سمت سرور رخ می دهد.

·         بررسی که در آن اعتبار سنجی داده ها رخ می دهد و اگر یک مدل متمرکز یا غیر متمرکز مدل استفاده شده است.

·         اطمینان حاصل شود هیچ درب پشتی در مدل اعتبار سنجی داده ها وجود دارد.

·         قانون طلایی: تمام ورودی های خارجی، بدون توجه به آنچه در آن است، مورد بررسی قرار و اعتبار.

خطا نشت جابجایی / اطلاعات:

·         اطمینان حاصل شود که تمام تماس های روش / تابع که یک مقدار بازگشتی رفع خطا مناسب و چک کردن مقدار بازگشتی.

·         اطمینان حاصل شود که استثنا و شرایط خطا به درستی به کار گرفته.

·         اطمینان حاصل شود که هیچ خطا سیستم را می توان از بازگشت به کاربران.

·         اطمینان حاصل شود که برنامه نتواند به شیوه ای امن.

·         منابع اطمینان منتشر می شوند، اگر خطا رخ می دهد.

ورود به سیستم / حسابرسی:

·         اطمینان حاصل شود که هیچ اطلاعات حساس است در صورت خطا وارد سایت شوید.

·         اطمینان از محموله در سیستم ثبت شده است از حداکثر طول تعریف شده و که مکانیسم ورود به سیستم به اجرا می گذارد که طول.

·         اطمینان از بدون اطلاعات حساس می توان به سیستم وارد. به عنوان مثال کوکی ها، HTTP 'GET' روش، اعتبارنامه احراز هویت.

·         بررسی در صورتی که برنامه را به اقدامات ممیزی که توسط نرم افزار گرفته از طرف مشتری (به خصوص دستکاری داده ها / ایجاد، بروز رسانی، حذف (CUD) عملیات).

·         اطمینان از موفق و ناموفق احراز هویت وارد شده است.

·         خطاهای برنامه اطمینان حاصل شود وارد سایت شوید.

·         بررسی نرم افزار برای ورود به سیستم اشکال زدایی با این دیدگاه به ثبت اطلاعات حساس است.

رمزنگاری:

·         اطمینان از بدون اطلاعات حساس را در انتقال روشن، داخلی و یا خارجی.

·         اطمینان از نرم افزار در حال اجرای روش های شناخته شده خوب رمزنگاری.

امن کد محیط زیست:

·         بررسی ساختار فایل. آیا هر گونه قطعات است که نباید طور مستقیم در دسترس در دسترس کاربر؟

·         تمام تخصیص حافظه / د تخصیص را بررسی کند.

·         بررسی نرم افزار برای SQL پویا و تعیین اگر آن را آسیب پذیر به تزریق شده است.

·         بررسی نرم افزار برای 'اصلی ()' از توابع اجرایی و محافظ اشکالزدایی / درب پشتی.

·         جستجو برای اظهار نظر کردن کد، اظهار نظر کردن کد تست، که ممکن است اطلاعات حساس باشد.

·         اطمینان از تمام تصمیمات منطقی یک بند به طور پیش فرض.

·         اطمینان از هیچ کیت محیط توسعه است در دایرکتوری ساخت موجود است.

·         جستجو برای هر گونه تماس به سیستم عامل و یا فایل تماس های باز و امکانات خطا را بررسی کند.

مدیریت جلسه:

·         بررسی چگونگی و زمانی که یک جلسه برای یک کاربر، غیرمجاز و تصدیق ایجاد شده است.

·         بررسی ID جلسه و بررسی در صورتی که به اندازه کافی پیچیده در تطابق با الزامات مورد قدرت است.

·         بررسی چگونگی جلسات ذخیره می شود: به عنوان مثال در یک پایگاه داده، در حافظه و غیره

·         بررسی چگونگی برنامه آهنگ جلسات.

·         تعیین اقدامات برنامه طول می کشد اگر یک ID جلسه نامعتبر است رخ می دهد.

·         بررسی ابطال را وارد نمایید.

·         تعیین چگونگی چند رشته ای چند کاربر / مدیریت جلسه انجام می شود.

·         تعیین فاصله جلسه HTTP عدم فعالیت.

·         تعیین چگونگی توابع قابلیت خروج از سیستم.

تجزیه و تحلیل خطر

پیش نیاز در تحلیل تهدیدات درک درستی از تعریف عمومی از خطر است که احتمال این که یک عامل تهدید یک آسیب پذیری بهره برداری به علت ضربه به نرم افزار است. از منظر مدیریت ریسک، مدل سازی تهدید رویکرد سیستماتیک و استراتژیک برای شناسایی و شمارش تهدید به محیط نرم افزار با هدف به حداقل رساندن خطر و اثرات مرتبط است.

تجزیه و تحلیل خطر مانند شناسایی تهدید به نرم افزار است، و شامل تجزیه و تحلیل هر جنبه از قابلیت های نرم افزار و معماری و طراحی به شناسایی و طبقه بندی نقاط ضعف احتمالی که می تواند به بهره برداری شود.

در اولین گام مدل سازی تهدید، ما سیستم نشان دادن جریان داده، مرز اعتماد، قطعات فرایند، و نقاط ورود و خروج مدل شده است. یک مثال از چنین مدل سازی در مثال نشان داده شده: داده نمودار جریان برای وب سایت کتابخانه کالج.

جریان اطلاعات نشان می دهد که چگونه جریان منطقی داده از طریق پایان دادن به پایان، و اجازه می دهد تا شناسایی قطعات آسیب دیده از طریق نقاط بحرانی (به عنوان مثال داده ورود و یا خروج از سیستم، ذخیره سازی داده ها) و جریان کنترل از طریق این قطعات. مرز اعتماد نشان می دهد هر محل که در آن سطح اعتماد تغییر می دهد. اجزای فرایند را نشان می دهد که در آن داده های پردازش شده است، مانند وب سرور، سرور برنامه کاربردی، و سرورهای پایگاه داده. نقاط ورود را نشان می دهد که در آن داده وارد سیستم (به عنوان مثال زمینه های ورودی، روش) و نقاط خروج هستند که در آن برگ سیستم (به عنوان مثال خروجی پویا، روش) بود. نقاط ورود و خروج مرز اعتماد را تعریف کنیم.

لیست تهدید بر اساس مدل STRIDE در شناسایی تهدیدات با توجه به اهداف مهاجم مفید هستند. برای مثال، اگر سناریو تهدید است حمله به ورود به سیستم، می حیوان مهاجم وادار کردن رمز عبور برای شکستن احراز هویت؟ اگر سناریو تهدید است که سعی کنید به بالا بردن امتیازات به دست آوردن امتیازات کاربر دیگر، به مهاجم سعی کنید به انجام مرورگری اجباری؟

این حیاتی است که همه بردارهای حمله ممکن است باید به از نقطه نظر مهاجمین از نظر ارزیابی شده است. به همین دلیل، آن را نیز مهم به نظر نقاط ورود و خروج، چرا که آنها نیز می تواند تحقق انواع خاصی از تهدید اجازه می دهد.به عنوان مثال، صفحه ورود اجازه می دهد تا ارسال اعتبارنامه احراز هویت و داده های ورودی پذیرفته شده توسط یک نقطه ورود است به اعتبار برای ورودی های مخرب بالقوه به بهره برداری آسیب پذیری مانند تزریق SQL، برنامه نویسی وب سایت متقابل، و سرریزهای بافر. علاوه بر این، جریان داده ها از عبور از آن نقطه است برای تعیین تهدید به نقاط ورود به اجزای بعدی در امتداد جریان استفاده می شود. اگر اجزای زیر را می توان بحرانی در نظر گرفته (به عنوان مثال اطلاعات حساس نگه دارید)، که نقطه ورود می تواند مهم تر در نظر گرفته شده است. در پایان برای پایان دادن جریان داده ها، به عنوان مثال، داده های ورودی (نام کاربری به عنوان مثال و رمز عبور) از یک صفحه ورود به سیستم، بدون اعتبار به تصویب رسید، می تواند برای یک حمله تزریق SQL سوءاستفاده جهت دستکاری یک پرس و جو برای شکستن احراز هویت و یا برای تغییر یک جدول در پایگاه داده.

نقاط خروج ممکن است به عنوان نقطه حمله به مشتری (به عنوان مثال آسیب پذیری XSS) و همچنین برای تحقق آسیب پذیری افشای اطلاعات خدمت می کنند. به عنوان مثال، در مورد نقاط خروج از اجزای دست زدن به اطلاعات محرمانه (به عنوان مثال قطعات دسترسی به داده ها)، نقاط خروج فاقد کنترل های امنیتی برای محافظت از محرمانه بودن و یکپارچگی می تواند به افشای اطلاعات محرمانه به یک کاربر غیر مجاز منجر شود.

در بسیاری از موارد تهدید را فعال کنید توسط نقاط خروج به تهدید به نقطه ورود مربوطه در ارتباط است. در مثال ورود به سیستم، پیام های خطا به کاربر از طریق نقطه خروج بازگشت ممکن است برای حملات نقطه ورود، مانند برداشت حساب (به عنوان مثال نام کاربر یافت نشد)، یا تزریق SQL (به عنوان مثال خطاهای استثنا SQL) اجازه می دهد.

از منظر دفاعی، شناسایی تهدیدات امنیتی طبقه بندی های کنترل مانند ASF رانده می شود، اجازه می دهد تا یک تحلیلگر تهدید به مسائل خاص مربوط به نقاط ضعف (به عنوان مثال آسیب پذیری) در کنترل های امنیتی تمرکز می کنند. به طور معمول روند شناسایی تهدید شامل رفتن را از طریق چرخه تکرار شونده که در آن در ابتدا همه تهدیدات احتمالی در لیست تهدید که به هر جزء اعمال ارزیابی شده است.

در تکرار بعدی، تهدید بیشتر توسط جستجوی راههای حمله تجزیه و تحلیل، علل ریشه (به عنوان مثال آسیب پذیری، به تصویر کشیده به عنوان بلوک های نارنجی) برای تهدید به بهره برداری می شود، و کنترل های لازم کاهش (به عنوان مثال اقدامات متقابل، به تصویر کشیده به عنوان بلوک های سبز). درخت تهدید همانطور که در شکل 2 نشان داده شده است که به انجام تجزیه و تحلیل خطر مانند

شکل 2: تهدید نمودار

هنگامی که تهدیدات مشترک، آسیب پذیری، و حملات عبارتند از ارزیابی، تجزیه و تحلیل خطر بیشتر متمرکز باید در استفاده از در نظر گرفتن و موارد سوء است. توسط به طور کامل تجزیه و تحلیل سناریوهای استفاده از، نقاط ضعف را می توان شناسایی است که می تواند به تحقق یک تهدید منجر شود. موارد تخلف باید به عنوان بخشی از فعالیت های امنیتی مورد نیاز مهندسی شناخته شده است.این موارد سوء استفاده می تواند نشان دهد چگونه اقدامات حفاظتی موجود را می توان دور زد، یا که در آن یک فقدان چنین محافظتی وجود ندارد. نمودار استفاده و سوء استفاده را برای احراز هویت مورد در شکل زیر نشان داده شده:

شکل 3: استفاده و سوء استفاده مورد

در نهایت، ممکن است که به همراه همه با هم با تعیین نوع تهدید برای هر جزء از سیستم تجزیه می شود. این را می توان با استفاده از یک طبقه بندی خطر مانند STRIDE یا ASF، استفاده از درختان تهدید برای تعیین چگونگی تهدید را می توان با یک آسیب پذیری در معرض، و استفاده و موارد سوء استفاده به اعتبار بیشتر به دلیل نبود یک اقدام متقابل برای کاهش تهدید انجام می شود.

برای اعمال STRIDE به جریان داده ها آیتم ها نمودار جدول زیر می توان استفاده کرد:

میز

رتبه بندی تهدیدات

تهدیدات را می توان از منظر عوامل خطر قرار گرفت. با تعیین عامل خطر ناشی از تهدید های مختلف شناسایی، آن را ممکن است برای ایجاد یک لیست اولویت بندی تهدیدات را به حمایت از یک استراتژی کاهش ریسک، مانند تصمیم گیری در مورد اینکه کدام تهدید برای اولین بار به کاهش است. عوامل خطر مختلف را می توان به تعیین که تهدید می تواند به عنوان بالا، متوسط، کم خطر و یا رتبه بندی استفاده می شود. به طور کلی، مدل های ریسک خطر استفاده از عوامل مختلف به مدل خطرات مانند نشان داده شده در شکل زیر:


> شکل 3: عوامل خطر مدل

DREAD

در مدل رتبه بندی تهدید خطر مایکروسافت ترس، عوامل خطر فنی برای تاثیر هستند آسیب و کاربران را تحت تاثیر، در حالی که سهولت عوامل بهره برداری می شوند قابلیت تکرار پذیری، Exploitability و کشف. این فاکتور خطر اجازه می دهد تا تخصیص مقادیر به عوامل موثر مختلف یک تهدید است. برای تعیین رتبه بندی از تهدید، تحلیلگر تهدید است برای پاسخ به سوالات اساسی برای هر یک از عوامل خطر، برای مثال:

·         برای آسیب: چگونه بزرگ می شود آسیب اگر حمله موفق؟

·         برای تکرار پذیری: چه آسان است آن را به تولید مثل از یک حمله به کار می کند؟

·         برای Exploitability: چقدر زمان، تلاش، و تخصص مورد نیاز است به بهره برداری تهدید؟

·         برای کاربرانی که: اگر یک تهدید بهره برداری قرار گرفت، چه درصدی از کاربران تحت تاثیر شود؟

·         برای کشف کردن: چگونه از آن آسان برای حمله به کشف این تهدید است؟

با مراجعه به وب سایت کتابخانه کالج ممکن است به سند تهدید نمونه مربوط به موارد استفاده مانند:

تهدید: کاربر مخرب ها اطلاعات محرمانه از دانش آموزان، اعضای هیات علمی و کتابداران.

1.       پتانسیل خسارت: تهدید به شهرت و همچنین مسئولیت مالی و حقوقی: 8

2.       تکرار پذیری: به طور کامل تکرار: 10

3.       Exploitability: نیاز به در همان زیر شبکه باشد و یا یک روتر به خطر بیافتد کرده اند: 7

4.       کاربران تحت تاثیر قرار: بر تمام کاربران: 10

5.       کشف کردن: می توان یافت به راحتی: 10

به طور کلی نمره DREAD: (8 + 10 + 7 + 10 + 10) / 5 = 9

در این مورد با داشتن 9 در مقیاس 10 نقطه است که قطعا یک تهدید در معرض خطر

مدل ریسک عمومی

یک مدل ریسک کلی تر را در نظر می گیرد احتمال (به عنوان مثال احتمال حمله) و ضربه (به عنوان مثال بالقوه آسیب):

خطر = احتمال X ضربه

احتمال و یا احتمال با سهولت استثمار، که به طور عمده به نوع تهدید و ویژگی های سیستم بستگی دارد، و با این امکان را به تحقق بخشیدن به یک تهدید است، که توسط وجود یک اقدام متقابل مناسب تعیین تعریف شده است.

در زیر به مجموعه ای از ملاحظات برای تعیین سهولت بهره برداری است:

1.       می توانید یک مهاجم بهره برداری از این راه دور؟

2.       مهاجم نیاز به تصدیق شود؟

3.       می توانید بهره برداری خودکار می باشد.

تاثیر عمدتا در پتانسیل آسیب و میزان تاثیر، مانند تعداد از قطعات است که توسط یک تهدید تحت تاثیر قرار بستگی دارد.

نمونه برای تعیین پتانسیل آسیب عبارتند از:

1.       می توانید یک مهاجم به طور کامل سر می برد و دستکاری سیستم؟

2.       می توانید دسترسی دولت به حمله به سیستم؟

3.       می توانید یک مهاجم سقوط سیستم؟

4.       می توانید مهاجم دست آوردن دسترسی به اطلاعات حساس مانند اسرار، PII

نمونه هایی برای تعیین تعداد از قطعات است که توسط یک تهدید تحت تاثیر قرار:

1.       چگونه بسیاری از منابع داده و سیستم می تواند تحت تاثیر شود؟

2.       چگونه 'عمیق' به زیرساخت می تواند عامل خطر در رفتن؟

این نمونه در محاسبه ارزش خطر کلی انتصاب مقادیر کیفی مانند بالا، متوسط ​​و پایین به احتمال و عوامل تاثیر کمک کند. در این مورد، با استفاده از مقادیر کیفی، نه از آنهایی که عددی مانند در مورد مدل وحشت، کمک به جلوگیری از تبدیل شدن به رتبه بندی بیش از حد ذهنی است.

شناسایی متقابل

به منظور شناسایی متقابل برای تعیین اگر برخی از نوع اندازه گیری حفاظتی (مثل کنترل امنیت، سیاست) در جایی که می توانید هر تهدید قبلا از طریق تجزیه و تحلیل خطر از تحقق شناسایی جلوگیری وجود دارد. آسیب پذیری ها پس از این تهدیدات که هیچ اقدامات متقابل. از آنجا که هر یک از این تهدید است یا با STRIDE یا ASF طبقه بندی شده، آن را ممکن است برای پیدا اقدامات متقابل مناسب در نرم افزار در دسته داده شده است.

ارائه شده در زیر یک چک لیست مختصر و محدود است که به هیچ وجه یک لیست جامع برای شناسایی اقدامات متقابل برای تهدید خاص است.

به عنوان مثال از اقدامات متقابل برای انواع تهدید ASF در جدول زیر شامل:

تهدید ASF و اقدامات متقابل فهرست

نوع تهدید

اقدام متقابل

احراز هویت

1.       اعتبار و نشانه احراز هویت با رمزگذاری برای ذخیره سازی و حمل و نقل محافظت

2.       پروتکل را به نیروی بی رحم، فرهنگ لغت، و حملات پخش مقاوم هستند

3.       سیاست های رمز عبور قوی به اجرا در

4.       اعتماد احراز هویت سرور به جای احراز هویت SQL استفاده می شود

5.       کلمه عبور با رشته هش ذخیره شده شور

6.       بازنشانی رمز عبور و نام کاربری رمز عبور نکات معتبر را آشکار نمی

7.       بستن کارخانه حساب در یک حملات انکار سرویس منتج نمی شود

اجازه

1.       ACL ها قوی برای اجرای دسترسی مجاز به منابع مورد استفاده

2.       کنترل دسترسی مبتنی بر نقش استفاده می شود برای محدود کردن دسترسی به عملیات خاص

3.       سیستم به پیروی از اصل حداقل امتیاز برای کاربر و سرویس حساب

4.       جدایی امتیاز به درستی در ارائه، کسب و کار و داده های لایه دسترسی پیکربندی

مدیریت پیکربندی

1.       فرآیندهای حداقل ممتاز استفاده می شود و سرویس حساب با قابلیت مدیریت

2.       ممیزی و ثبت تمام فعالیت های دولت فعال است

3.       دسترسی به فایل های پیکربندی و رابط مدیر به مدیران محدود

حفاظت از داده ها در حمل و نقل و انبارداری

1.       الگوریتم های رمزنگاری استاندارد و اندازه کلید صحیح استفاده می شود

2.       درهم کد تأیید هویت پیام (HMACs) استفاده می شود برای محافظت از تمامیت داده ها

3.       اسرار (به عنوان مثال کلید، اطلاعات محرمانه) در رمز نویسی هر دو در حمل و نقل و ذخیره سازی محافظت در

4.       ساخته شده در ذخیره سازی امن برای محافظت از کلید های مورد استفاده

5.       بدون اعتبار و اطلاعات حساس در متن روشن بر روی سیم ارسال

اعتبار سنجی داده ها / پارامتر اعتبار سنجی

1.       نوع داده، فرمت، طول، و چک کردن محدوده به اجرا در

2.       همه داده های ارسال شده از طرف مشتری اعتبار است

3.       هیچ تصمیم امنیتی بر پارامترهای (به عنوان مثال پارامترهای URL) که می تواند دستکاری بر اساس

4.       ورودی فیلتر کردن از طریق لیست های اعتبار سنجی سفید استفاده شده است

5.       را پشتیبانی می کند خروجی استفاده شده است

رفع خطا و مدیریت استثنا

1.       همه استثنا در شیوه ای سازمان یافته به کار گرفته

2.       امتیازات به سطح مناسب در مورد اشتباهات و استثنا ترمیم

3.       پیغام خطا هستند پاک به طوری که هیچ اطلاعات حساس است به مهاجم نشان داد

مدیریت کاربران و جلسه

1.       بدون اطلاعات حساس را در متن روشن در کوکی ذخیره می شود

2.       محتویات کوکی ها احراز هویت رمزگذاری شده است

3.       کوکی در پیکربندی به اتمام می رسد

4.       جلسات مقاوم در برابر حملات به پخش

5.       کانال های ارتباطی امن استفاده می شود برای محافظت از کوکی ها احراز هویت

6.       کاربر مجبور است برای دوباره تصدیق هنگام انجام وظایف مهم

7.       جلسات با خروج منقضی شده

ممیزی و ثبت

1.       اطلاعات حساس (کلمه عبور به عنوان مثال، PII) است عضو وارد نشده اید

2.       کنترل دسترسی (به عنوان مثال از ACL) در فایل ورود به سیستم اجرا برای جلوگیری از دسترسی غیر مجاز

3.       کنترل یکپارچگی (به عنوان مثال امضا) در فایل ورود به سیستم اجرا به ارائه غیر انکار

4.       ورود به سیستم فایل برای دنباله ممیزی برای عملیات حساس و ورود به سیستم از وقایع کلیدی ارائه

5.       ممیزی و ثبت در سراسر ردیف بر روی چندین سرور فعال است

هنگام استفاده از STRIDE، جدول تهدید کاهش زیر را می توان مورد استفاده برای شناسایی تکنیک های که می تواند برای کاهش تهدیدات.

STRIDE تهدید و تکنیک های کاهش فهرست

نوع تهدید

تکنیک های کاهش

هویت حقه بازی

1.       احراز هویت مناسب

2.       محافظت از اطلاعات محرمانه

3.       هنوز اسرار ذخیره نمی

دستکاری با داده

1.       مجوز مناسب

2.       رشته های هش

3.       مکینتاش

4.       امضای دیجیتال

5.       رشوه دادن مقاوم در برابر پروتکل

انکار

1.       امضای دیجیتال

2.       مهرهای زمان

3.       مسیرهای ممیزی

افشای اطلاعات

1.       اجازه

2.       پروتکل های حفظ حریم خصوصی افزایش یافته است

3.       رمزگذاری

4.       حفظ اسرار

5.       هنوز اسرار ذخیره نمی

خود داری از خدمات

1.       احراز هویت مناسب

2.       مجوز مناسب

3.       تصفیه آب و تصفیه

4.       گلوگاه

5.       کیفیت خدمات

ارتفاع از امتیاز

1.       اجرا با حداقل امتیاز

هنگامی که تهدیدات و اقدامات متقابل مربوطه شناسایی می شوند ممکن است به استخراج مشخصات تهدید با شرایط زیر:

1.       تهدید کاهش غیر: تهدید که هیچ اقدامات متقابل و نشان دهنده آسیب پذیری است که می تواند به طور کامل مورد بهره برداری قرار و باعث تاثیر

2.       نیمه تهدیدات کاهش: تهدید بخشی از آن توسط یک یا چند اقدامات متقابل که نشان دهنده آسیب پذیری است که تنها می حدی بهره برداری می شود و باعث کاهش تاثیر محدود

3.       به طور کامل تهدیدات کاهش: این تهدیدها سودمند متقابل مناسب در محل و آسیب پذیری و علت تاثیر قرار ندهید

استراتژی های کاهش

هدف از مدیریت ریسک است برای کاهش تاثیر که بهره برداری از یک تهدید می توانید به برنامه داشته باشد. این را می توان با پاسخ به یک تهدید با یک استراتژی کاهش ریسک انجام می شود. به طور کلی پنج گزینه برای کاهش تهدید وجود دارد

1.       آیا هیچ چیز: به عنوان مثال، به امید بهترین ها

2.       اطلاع در مورد خطر: به عنوان مثال، هشدار جمعیت کاربر در مورد خطر

3.       کاهش خطر: به عنوان مثال، با قرار دادن اقدامات متقابل در محل

4.       قبول خطر: به عنوان مثال، پس از ارزیابی تاثیر بهره برداری (تاثیر کسب و کار)

5.       انتقال ریسک: به عنوان مثال، از طریق توافق قراردادی و بیمه

6.       خاتمه خطر: برای مثال، خاموش کردن، خاموش، جدا و یا decommission دارایی


تصمیمی که برای استراتژی مناسب ترین است بستگی به تاثیر بهره برداری از یک تهدید تواند داشته باشد، احتمال وقوع آن، و هزینه های برای انتقال (یعنی هزینه برای بیمه) و یا اجتناب از (یعنی هزینه و زیان به دلیل طراحی مجدد) آن است. این است که، مانند تصمیم در خطر یک تهدید به شمار به سیستم می باشد. بنابراین، استراتژی انتخاب می کند تهدید خود را، اما خطر آن را به سیستم به شمار کاهش نیست. در نهایت خطر به کاهش است را به حساب تاثیر کسب و کار، از آنجایی که این فاکتور بسیار مهم برای استراتژی مدیریت ریسک کسب و کار است. یک استراتژی می تواند به رفع آسیب پذیری تنها برای آن هزینه برای رفع کمتر از تاثیر بالقوه کسب و کار به دست آمده توسط بهره برداری از آسیب پذیری است. یکی دیگر از استراتژی می تواند به قبول ریسک در زمانی که از دست دادن برخی از کنترل های امنیتی (به عنوان مثال محرمانگی، یکپارچگی و در دسترس بودن) به معنی تخریب کوچکی از خدمات، و نه از دست دادن یک تابع حیاتی کسب و کار. در برخی از موارد، انتقال از خطر ابتلا به ارائه دهنده خدمات دیگری نیز ممکن است یک گزینه باشد.

 

مدل سازی تهدید