Рубрики
Uncategorized

Моделирование угрозы для начинающих

«Моделирование угрозы» — это термин, который я много вижу на приложениях на работу в последнее время. Люди хотят, чтобы кто-то, кто может … Tagged CodeNewie, сегодня — это охрана, охрана, дежопта.

«Моделирование угрозы» — это термин, который я много вижу на приложениях на работу в последнее время. Люди хотят, чтобы кто-то, кто может «модель угрозы». » Итак, что на самом деле является «модель угрозы»?

Моделирование угрозы — это процесс выявления угроз и уязвимостей; А также определить пробелы в безопасности и смягчить риски, которые могут повредить приложение или оставить открытие кражи данных. «По сути, это взгляд на приложение и его среда через очки безопасности». (1)

Как разработчик

  • Поскольку ландшафт безопасности приложения когда-либо меняется, поскольку новые угрозы обнаруживаются каждый день, трудно сказать, что вы на 100% покрыты от всех угроз в первый раз. Таким образом, моделирование угроз должна быть сделана в первую очередь как можно раньше в жизненном цикле развития, пересмотрено в любое время, происходит изменение в архитектуре системы, и после того, как введен какие-либо инциденты безопасности или новые уязвимости.

На рисунке ниже вы можете увидеть, что это как часть проектной точки жизненного цикла развития, но не Только Посмотрите на него один раз, а затем никогда не снова!

Как тестер проникновения/инженеры безопасности

  • Моделирование угрозы помогает построить понимание приложения в глубине без каких-либо предыдущих знаний об этом. Это помогает тестеру увидеть, как все действительно подключаются и общаются и там, где их можно использовать.

Ниже вы можете увидеть образец моделей угрозы приложения, которую я построил, теперь тестирую, и несколько проблем угроз, найденные в веб-приложении.

Есть много методологий на выбор; Более того, что я хочу погрузиться глубоко в этот блог. В целом, они все виды аналогичного процесса, в котором вы проходите через проект и выявляете, где проблемы безопасности могут всплыть. Обычно это визуальное представление с документацией, объясняющей каждый процесс, и любые угрозы, связанные с ним. Существуют также варианты того, как может быть исправлена угроза, и хорошая модель угрозы должна также дать численное значение вопросам, чтобы помочь сообщить общую угрозу ландшафта проекта. Обычно CVSS (общая система оценки уязвимости) используется с визуальной моделью для обеспечения способа захвата основных характеристик уязвимости и создавать числовую оценку (в диапазоне от 0 до 10, причем 10 — самые серьезные), изображающие его тяжесть.

Модель угроз Инструменты делают процесс намного очистителя. Там есть несколько Но я собираюсь поговорить о инструменте моделирования угроз MS и Dragon OvaPS.

  • Ниже вы можете увидеть Инструмент моделирования угроз MS И после загрузки это сам, это довольно легко в использовании. Это интерфейс щелчка и перетаскивания, который позволяет размещать элементы на диаграмме и взаимодействовать и соединять вещи как часть потока данных проекта. Вы можете видеть, что маленькие «HTTPS» имеют небольшие ключи рядом с ним, и в том случае, есть параметры для добавления конкретных атрибутов «аутентификации назначения» или «обеспечивают целостность. «Мне нравится, как это дает много настроек для каждого проекта, который может потребоваться.
  • Есть также модели угроз с открытым исходным кодом, такие как Угроз Оусс Драконь У этого есть онлайн-версия для подключения к репозитории Git или загружаемой версии для работы с локально. Это тот же процесс, что и инструмент моделирования MS MSS Troughtion Modeling и является системой Click и перетаскивания, где вы можете взаимодействовать с каждой точкой, пометить ее и добавить точки угроз. Самый большой, это то, что он не автоматически, и вам нужно знать, что вы ищете Но оно создает хороший отчет о найденных проблемах, и мне нравится, что это связано с моим проектом, к которому я это сделал.

Доступна как минимум 12 различных методологий, поскольку все, кажется, хотят иметь свой собственный метод, но вот несколько конкретных методологий, которые видны довольно часто. (4) Я оставлю это до вас, чтобы найти лучший для вашей ситуации.

  • Шаг (Подделка, подделка, отказ, раскрытие информации, отказ в обслуживании). Разработано Microsoft IT это MneMonic для его 6 категорий угрозы безопасности.
  • Страх (Потенциал ущерба, воспроизводимость, эксплуатационность, затронутые пользователи, обнаруженность) — это другая методология, разработанная Microsoft, рассчитывая риск, принимая в среднем 5 категорий.
  • Паста (Процесс моделирования и анализа атаки и анализа угроз) представляет собой семиступенчатую, ориентированную на риск, ориентированную на рискованную методологию для согласования целей бизнеса и технических требований, принимая во внимание проблемы соответствия и бизнес-анализ.
  • Атаковать деревья «являются диаграммами, которые изображают атаки на систему в форме дерева. Корень дерева — цель для атаки, а листья — это способы достижения этой цели. Каждая гола представлена как отдельное дерево. Таким образом, анализ системных угроз производит набор атакующих деревьев ». (4)

Дело в том, что создает угрозу моделирования полезной, это способность идентифицировать и расставлять приоритеты, которые обнаружили угрозы, а также классифицировать угрозы.

Для разработчиков

  • Моделирование угрозы обеспечивает больше ценности, когда оно выполняется последовательно и неоднократно позволяет разработчикам определить и определять приоритеты для фиксации уязвимости.

Если вы используете модуль угрозы в жизненном цикле развития, это поможет минимизировать вашу подверженность рискам безопасности, урок воздействия и вероятности чего-то плохого происхождения, и, надеюсь, внести какие-либо проблемы, которые случаются более управляемыми и менее катастрофическими.

Для тестеров проникновения/инженеров безопасности

  • Моделирование угроз приятно помочь увидеть, как текущие данные приложения текут и находят недостатки безопасности в нем.

Создавая угрозу, моделируя часть теста проникновения, это позволяет Pentesters видеть все рабочие части приложения, его зависимостей и структуру базы данных. И при сообщении рекомендаций по смягчению последствий он помогает обеспечить, чтобы обеспечить безопасное приложение путем соединения разрыва между разработчиками и экспертами безопасности. Это позволяет каждому иметь знания и осведомленность, хотя документацию, из всех выявленных и оцененных угроз для проекта.

Happy Hacking.

использованная литература

  1. https://wiki.owasp.org/index.php/Category:Threat_Modeling
  2. https://devops.com/threat-modeling-the-why-how-when-and-which-tools/
  3. https://www.geeksforgeeks.org/threat-modelling/
  4. https://insights.sei.cmu.edu/sei_blog/2018/12/threat-modeling-12-available-methods.html
  5. https://www.f5.com/services/resources/white-papers/f5-big-ip-platform-security
  6. https://owasp.org/www-community/Application_Threat_Modeling
  7. https://threatmodeler.com/threat-modeling-methodologies-overview-for-your-business/
  8. https://www.owasp.org/images/e/e9/Threat-Modelling_oct2017.pdf
  9. https://www.microsoft.com/en-us/download/details.aspx?id=49168
Обратите внимание, что я все еще учусь. Если что-то, что я заявил, неверно, пожалуйста, дайте мне знать. Я хотел бы узнать больше о том, что я могу не понять полностью.

Оригинал: «https://dev.to/caffiendkitten/why-you-need-threat-modeling-3n6p»