Рубрики
Uncategorized

Если вы хотите построить домик на дереве, начните с нижней части

Если вы когда -нибудь смотрели, как ребенок рисует домик на дереве, у вас есть представление о том, как приложения строятся, когда … Помечено безопасностью, WebDev, DevOps, новичками.

Если вы когда -либо смотрели, как ребенок рисует домик на дереве, у вас есть некоторое представление о том, как создаются приложения, когда безопасность не стала приоритетом. Гораздо веселее нарисовать качели шин, переднее крыльцо и бассейн, чем беспокоиться о том, как ведро воды из десяти тысяч галлонов остается подвешенным в воздухе. С слишком большим вниманием уделяется веселыми и ярким функциям, фонды страдают.

Да, я это нарисовал.

Конечно, тратить чрезвычайные часы на строительство задней части, например, Fort Knox, возможно, не потребуется для вашего применения. Быть защитником безопасности не означает, что всегда носить вашу шляпу из фольги (хотя вы действительно выглядите в ней), но означает строительство в соответствующем количестве безопасности.

Сколько безопасности уместна? Ответ, разочаровывающе, таково, что это зависит. «Правильное количество безопасности для вашего приложения зависит от того, кто его использует, что оно делает, и, что самое важное, что нежелательно это можно сделать. Требуется некоторый анализ, чтобы принимать решения о видах рисков, которые сталкиваются с вашим приложением и о том, как вы подготовитесь к с ними. Ладно, сейчас самое время надеть свою шляпу из фольги. Давайте представим худшее.

Моделирование угроз: Что самое худшее, что может случиться

A Модель угрозы это душной термин для результата попытки представить себе худшие вещи, которые могут случиться с приложением. Использование вашего воображения для оценки рисков (приспособленно, называемое оценкой риска )-это удобный неразрушающий метод для поиска способов атаки приложения. Вам не понадобятся никаких инструментов; Просто понимание того, как может работать приложение, и небольшое воображение. Вы захотите записать свои результаты с помощью ручки и бумаги. Для молодых людей это означает приложение Notes на вашем телефоне.

Несколько различных методологий для оценки риска приложений можно найти в мире программного обеспечения, включая углубленный NIST Special Publication 800-30 Анкет Фреймворк каждого метода имеет определенные шаги и выходные данные, и будет проходить различные уровни детализации, когда речь идет о определении угроз. Если следуйте за рамки, сначала выберите тот, который вы, скорее всего, завершите. Вы всегда можете добавить больше глубины и деталей оттуда.

Даже неформальные оценки риска полезны. Обычно принимая форму набора вопросов, они могут быть ориентированы на возможные угрозы, влияние на активы или способы использования уязвимости. Вот несколько примеров вопросов, посвященных каждой ориентации:

  • Какой противник захочет сломать мое приложение? Что они будут после?
  • Если контроль x Впал в чужие руки, что может с ним сделать злоумышленник?
  • Где мог бы x Уязвимость происходит в моем приложении?

Основная модель угроз объясняет технические, деловые и человеческие соображения для каждого риска. Обычно он будет подробно описать:

  • Уязвимости или компоненты, которые могут вызвать риск
  • Влияние, которое успешное выполнение риска оказало бы на приложение
  • Последствия для пользователей или организации приложения

Результатом упражнения по оценке риска является ваша модель угроз; Другими словами, список вещей, которые вы бы очень хотели бы не произойти. Обычно он сортируется в иерархии рисков, от худшего до самых мягких. Худшие риски оказывают наиболее негативное влияние и наиболее важны для защиты. Самые мягкие риски являются наиболее приемлемыми — хотя и остаются нежелательным результатом, они оказывают наименьшее негативное влияние на приложение и пользователей.

Вы можете использовать эту иерархию в качестве руководства, чтобы определить, сколько ваших усилий по кибербезопасности для применения в каждой области риска. Подходящая сумма безопасности для вашей заявки устранит (где это возможно) или снижает худшие риски.

Толчок оставил

Хотя это звучит как мем танцевального движения, толчок влево Вместо этого относится к созданию как можно большую часть запланированной безопасности на ранних стадиях разработки программного обеспечения.

Строительное программное обеспечение очень похоже на строительство домика на дереве, только без приятного свежего воздуха. Вы начинаете с основных вспомогательных компонентов, таких как прикрепление платформы к дереву. Затем приходит кадрирование, стены и крыша, и, наконец, ваши деревенские современные стены, достойные инстаграм и бюст-оленей.

Чем дальше в процессе сборки вы находитесь, тем сложнее и дороже внести изменения в компонент, который вы уже установили. Если вы обнаружите проблему со стенами только после того, как крыша установлена, вам может потребоваться изменить или удалить крышу, чтобы исправить ее. Подобные параллели могут быть проведены для программных компонентов, только без одинаковой легкость в распутывании прикрепленных деталей.

В случае с домиком на дереве довольно невозможно начать с украшений или даже крыши, так как вы не можете действительно подвешивать их в воздухе. В случае разработки программного обеспечения, к сожалению, возможно построить многие компоненты и абстракции высшего уровня без достаточной вспомогательной архитектуры. Левый подход рассматривает каждый дополнительный слой как добавление стоимости и осложнений. Толкание влево означает попытку смягчить риски безопасности как можно больше на каждой стадии разработки, прежде чем перейти к следующему.

Строительство дна до вершины

Рассматривая вашу модель угроз на ранних стадиях разработки вашего приложения, вы уменьшаете шансы на необходимость дорогостоящей реконструкции позже. Вы можете сделать выбор в отношении архитектуры, компонентов и кода, которые поддерживают основные цели безопасности вашего конкретного приложения.

Хотя невозможно предвидеть всю функциональность, которую может поддержать ваше приложение, может поддержать, можно подготовить прочную основу, которая позволяет добавлять дополнительные функции более надежно. Строительство соответствующей безопасности снизу на вершину поможет значительно упростить снижение рисков безопасности в будущем.

Оригинал: «https://dev.to/victoria/if-you-want-to-build-a-treehouse-start-at-the-bottom-1e20»