يحدث تطور جديد في كل وقت في شركات البرمجيات المشغولة. ولكن هل تحدث التنمية الآمنة أيضًا؟
تتضمن عملية تسمى نمذجة التهديد البسيط (LTM) أصحاب المصلحة في التطوير الآمن ، مما يضمن تحقيق الأمن وعدم تثبيته. ما هي آلية تحديد الوقت وكيف تختلف عن نمذجة التهديد التقليدية؟
نهج نمذجة التهديدات الخفيفة
LTM هو نهج مبسط لتحديد وتقييم وتخفيف التهديدات الأمنية ونقاط الضعف المحتملة في نظام أو تطبيق. إنها نسخة مبسطة من نمذجة التهديدات التقليدية، والذي يتضمن عادةً تحليلاً أكثر شمولاً وتفصيلاً لمخاطر الأمان.
باستخدام LTM ، لا نعلق الدبابيس يدويًا في النظام أو التطبيق لمعرفة ما إذا كان ينكسر ، كما نفعل مع اختبار القلم. وبدلاً من ذلك ، فإننا نحدث "ثغرات نظرية" في التطبيق ، ونكشف عن سبل الهجوم المحتملة ونقاط الضعف.
فيما يلي بعض الأسئلة التي يجب طرحها في الاعتبار:
- من يريد مهاجمة أنظمتنا؟
- ما هي مكونات النظام التي يمكن مهاجمتها ، وكيف؟
- ما هو أسوأ شيء يمكن أن يحدث إذا اقتحم شخص ما؟
- ما هو التأثير السلبي لهذا على شركتنا؟ على عملائنا؟
متى يتم تنفيذ LTMs؟
من الأفضل إجراء LTM عند إصدار ميزة جديدة أو تغيير عنصر تحكم في الأمان أو إجراء أي تغييرات على بنية النظام الحالية أو البنية التحتية.
من الناحية المثالية ، يتم تنفيذ LTMs بعد مرحلة التصميم و قبل تطبيق. بعد كل شيء ، من الأسهل كثيرًا إصلاح الثغرة قبل طرحها في الإنتاج. لتوسيع نطاق ضيق الوقت عبر مؤسستك ، تأكد من إنشاء عمليات ومعايير واضحة ومتسقة. يمكن أن يشمل ذلك تحديد مجموعة مشتركة من فئات التهديد ، وتحديد المصادر المشتركة للتهديدات ونقاط الضعف ، وتطوير إجراءات معيارية لتقييم المخاطر والتخفيف من حدتها.
كيفية تنفيذ LTMs في مؤسستك
لبدء تنفيذ LTMs داخل مؤسستك ، اجعل فرق الأمان الداخلي لديك تقود محادثاتك LTM أولاً. عندما تصبح فرقك الهندسية أكثر دراية بالعملية ، يمكنهم البدء في تنفيذ نماذج التهديد الخاصة بهم.
لتوسيع نطاق ضيق الوقت عبر مؤسستك ، تأكد من إنشاء عمليات ومعايير واضحة ومتسقة. يمكن أن يشمل ذلك تحديد مجموعة مشتركة من فئات التهديد ، وتحديد المصادر المشتركة للتهديدات ونقاط الضعف ، وتطوير إجراءات معيارية لتقييم المخاطر والتخفيف من حدتها.
الأخطاء الشائعة التي يجب تجنبها في الوقت المناسب
إن أفراد الأمن بارعون في نمذجة التهديد: غالبًا ما يتوقعون الأسوأ ولديهم القدرة على التخيل بما يكفي للتفكير في القضايا المتطورة. لكن هذه الصفات تؤدي بهم أيضًا إلى الوقوع في مصائد LTM ، مثل:
- التركيز كثيرا على القيم المتطرفة. يحدث هذا أثناء تمرين LTM عندما ينحرف تركيز المحادثة بعيدًا عن التهديدات الأكثر واقعية إلى القيم المتطرفة. لحل هذه المشكلة ، تأكد من فهم نظامك البيئي تمامًا. استخدم المعلومات من معلومات الأمان وإدارة الأحداث (SIEM) وأنظمة المراقبة الأمنية الأخرى. إذا كان لديك ، على سبيل المثال ، 10,000 هجوم أصابت نقاط نهاية واجهة برمجة التطبيقات (API) ، على سبيل المثال ، فأنت تعلم أن هذا هو ما يركز عليه خصومك. هذا هو ما يجب أن تركز عليه LTM أيضًا.
- الحصول على التقنية للغاية. في كثير من الأحيان ، بمجرد اكتشاف ثغرة نظرية ، يقفز الأشخاص الفنيون إلى "وضع حل المشكلات". وينتهي بهم الأمر بـ "حل" المشكلة والتحدث عن التنفيذ الفني بدلاً من الحديث عن تأثير الضعف على المنظمة. إذا وجدت أن هذا يحدث أثناء تمارين LTM الخاصة بك ، فحاول سحب المحادثة مرة أخرى: أخبر الفريق أنك لن تتحدث عن التنفيذ بعد. تحدث من خلال المخاطر والأثر لأول مرة.
- بافتراض أن الأدوات وحدها تتعامل مع المخاطر. في كثير من الأحيان ، يتوقع المطورون أن تجد أدواتهم جميع المشكلات. بعد كل شيء ، الحقيقة هي أن نموذج التهديد لا يهدف إلى إيجاد ثغرة أمنية معينة. بدلاً من ذلك ، من المفترض أن ينظر إلى المخاطر الكلية للنظام ، على المستوى المعماري. في الواقع ، كان التصميم غير الآمن أحد أحدث تصميمات OWASP أهم 10 مخاطر لأمان تطبيقات الويب. أنت بحاجة إلى نماذج تهديد على المستوى المعماري لأن مشكلات الأمان المعماري هي الأصعب في الإصلاح.
- التغاضي عن التهديدات ونقاط الضعف المحتملة. نمذجة التهديد ليست تمرينًا لمرة واحدة. من المهم إعادة تقييم التهديدات المحتملة ونقاط الضعف بشكل منتظم للبقاء في طليعة ناقلات الهجوم والجهات الفاعلة في التهديد المتغيرة باستمرار.
- عدم مراجعة استراتيجيات التنفيذ عالية المستوى. بمجرد تحديد التهديدات ونقاط الضعف المحتملة ، من المهم تنفيذ تدابير مضادة فعالة للتخفيف منها أو القضاء عليها. قد يشمل ذلك تنفيذ الضوابط الفنية ، مثل التحقق من صحة الإدخال أو التحكم في الوصول أو التشفير ، بالإضافة إلى الضوابط غير الفنية ، مثل تدريب الموظفين أو السياسات الإدارية.
وفي الختام
LTM هو نهج مبسط لتحديد وتقييم وتخفيف التهديدات الأمنية المحتملة ونقاط الضعف. إنه سهل للغاية للمطورين ويحصل على كود آمن يتحرك به القيام بنمذجة التهديد في وقت مبكر في دورة حياة تطوير البرمجيات (SDLC). والأفضل من ذلك ، يمكن لمطوري البرامج والمهندسين المعماريين إجراء عملية LTM بأنفسهم ، بدلاً من الاعتماد على المعامل لتشغيل نمذجة التهديد.
من خلال تطوير وتنفيذ الإجراءات طويلة الأجل بطريقة متسقة وفعالة ، يمكن للمؤسسات تحديد مخاطر الأمان الأكثر أهمية ومعالجتها بسرعة وفعالية ، مع تجنب المزالق والأخطاء الشائعة.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://www.darkreading.com/vulnerabilities-threats/fast-track-secure-development-using-lite-threat-modeling
- 000
- 10
- 7
- a
- من نحن
- الوصول
- في
- العنوان
- إداري
- بعد
- قدما
- الكل
- وحده
- تحليل
- و
- API
- التطبيق
- تطبيق
- أمان التطبيق
- نهج
- معماري
- هندسة معمارية
- مهاجمة
- الهجمات
- تجنب
- الى الخلف
- لان
- قبل
- أفضل
- أفضل
- فواصل
- حطم
- تسمى
- الحالات
- الفئات
- التغييرات
- واضح
- الكود
- مشترك
- الشركات
- حول الشركة
- مكونات
- شامل
- نظر
- ثابتة
- مراقبة
- ضوابط
- محادثة
- المحادثات
- استطاع
- حرج
- العملاء
- تحديد
- تصميم
- مفصلة
- المطورين
- تطوير
- التطوير التجاري
- اختلف
- صعبة
- اكتشف
- أثناء
- أسهل
- النظام الإيكولوجي
- حافة
- الطُرق الفعّالة
- على نحو فعال
- القضاء
- موظف
- التشفير
- الهندسة
- كاف
- ضمان
- إنشاء
- الحدث/الفعالية
- دائم التغير
- مثال
- ممارسة
- القائمة
- توقع
- جدا
- فال
- مألوف
- الميزات
- الاسم الأول
- حل
- تركز
- ركز
- تبدأ من
- دولار فقط واحصل على خصم XNUMX% على جميع
- الذهاب
- عظيم
- مقبض
- يحدث
- يحدث
- رفيع المستوى
- ضرب
- ثقوب
- كيفية
- HTTPS
- محدد
- تحديد
- تحديد
- التأثير
- تنفيذ
- التنفيذ
- تحقيق
- أهمية
- in
- تتضمن
- معلومات
- البنية التحتية
- إدخال
- بدلًا من ذلك
- السطح البيني
- داخلي
- تنطوي
- مسائل
- IT
- قفز
- علم
- مختبرات
- قيادة
- مستوى
- الحياة
- بحث
- صنع
- إدارة
- أسلوب
- يدويا
- الأخطاء
- تخفيف
- مخففا
- التخفيف من المخاطر
- موضة
- نموذج
- عارضات ازياء
- مراقبة
- الأكثر من ذلك
- أكثر
- يتحرك
- حاجة
- سلبي
- جديد
- ONE
- معارض
- منظمة
- المنظمات
- أخرى
- شركتنا
- الكلي
- الخاصة
- مجتمع
- نفذ
- أداء
- مرحلة جديدة
- دبابيس
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- دفرة
- سياسات الخصوصية والبيع
- ممكن
- محتمل
- المشكلة
- حل المشاكل
- مشاكل
- الإجراءات
- عملية المعالجة
- العمليات
- الإنتــاج
- برمجة وتطوير
- الصفات
- الأسئلة المتكررة
- بسرعة
- RE
- واقعي
- واقع
- الأخيرة
- بانتظام
- صدر
- مراجعة
- المخاطرة
- المخاطر
- يجري
- حجم
- تأمين
- أمن
- المخاطر الأمنية
- تهديدات أمنية
- طقم
- ينبغي
- مبسط
- تطبيقات الكمبيوتر
- مطوري البرامج
- تطوير البرمجيات
- حل
- حل
- بعض
- شخص ما
- مصادر
- محدد
- أصحاب المصلحة
- معيار
- المعايير
- بداية
- إقامة
- الشائكة
- لا يزال
- استراتيجيات
- تبسيط
- هذه
- نظام
- أنظمة
- حديث
- الحديث
- فريق
- فريق
- تقني
- الاختبار
- •
- من مشاركة
- أنفسهم
- نظري
- شيء
- بعناية
- التهديد
- الجهات التهديد
- التهديدات
- عبر
- الوقت
- إلى
- جدا
- أدوات
- تقليدي
- قادة الإيمان
- الفخاخ
- عادة
- فهم
- تستخدم
- التحقق من صحة
- الإصدار
- نقاط الضعف
- الضعف
- الويب
- تطبيق ويب
- ابحث عن
- ما هي تفاصيل
- التي
- في حين
- في غضون
- أسوأ
- سوف
- أنت
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت
