Νέα ανάπτυξη συμβαίνει συνεχώς σε πολυάσχολες εταιρείες λογισμικού. Γίνεται όμως και ασφαλής ανάπτυξη;
Μια διαδικασία που ονομάζεται μοντελοποίηση απειλών lite (LTM) εμπλέκει τους ενδιαφερόμενους σε ασφαλή ανάπτυξη, διασφαλίζοντας ότι η ασφάλεια είναι ενσωματωμένη και όχι βιδωμένη. Τι είναι το LTM και σε τι διαφέρει από το παραδοσιακό μοντέλο απειλών;
The Lite Threat Modelling Approach
Το LTM είναι μια βελτιστοποιημένη προσέγγιση για τον εντοπισμό, την αξιολόγηση και τον μετριασμό πιθανών απειλών και τρωτών σημείων ασφαλείας σε ένα σύστημα ή μια εφαρμογή. Είναι μια απλοποιημένη έκδοση του παραδοσιακή μοντελοποίηση απειλών, το οποίο συνήθως περιλαμβάνει μια πιο ολοκληρωμένη και λεπτομερή ανάλυση των κινδύνων ασφαλείας.
Με το LTM, δεν κολλάμε χειροκίνητα καρφίτσες στο σύστημα ή την εφαρμογή για να δούμε αν σπάει, όπως θα κάναμε με τη δοκιμή πένας. Αντίθετα, ανοίγουμε «θεωρητικές τρύπες» στην εφαρμογή, αποκαλύπτοντας πιθανές λεωφόρους επίθεσης και τρωτά σημεία.
Ακολουθούν ορισμένες ερωτήσεις που πρέπει να εξετάσετε:
- Ποιος θα ήθελε να επιτεθεί στα συστήματά μας;
- Ποια στοιχεία του συστήματος μπορούν να επιτεθούν και πώς;
- Ποιο είναι το χειρότερο πράγμα που θα μπορούσε να συμβεί αν κάποιος εισέβαλε;
- Τι αρνητικό αντίκτυπο θα είχε αυτό στην εταιρεία μας; Στους πελάτες μας;
Πότε εκτελούνται τα LTM;
Είναι καλύτερο να εκτελείτε ένα LTM κάθε φορά που κυκλοφορεί μια νέα δυνατότητα, αλλάζει ένα στοιχείο ελέγχου ασφαλείας ή γίνονται οποιεσδήποτε αλλαγές στην υπάρχουσα αρχιτεκτονική ή υποδομή του συστήματος.
Στην ιδανική περίπτωση, εκτελούνται LTM μετά η φάση του σχεδιασμού και πριν εκτέλεση. Σε τελική ανάλυση, είναι πολύ, πολύ πιο εύκολο να διορθώσετε μια ευπάθεια πριν κυκλοφορήσει στην παραγωγή. Για να κλιμακώσετε τα LTM σε ολόκληρο τον οργανισμό σας, φροντίστε να δημιουργήσετε σαφείς και συνεπείς διαδικασίες και πρότυπα. Αυτό μπορεί να περιλαμβάνει τον καθορισμό ενός κοινού συνόλου κατηγοριών απειλών, τον εντοπισμό κοινών πηγών απειλών και τρωτών σημείων και την ανάπτυξη τυπικών διαδικασιών για την αξιολόγηση και τον μετριασμό των κινδύνων.
Πώς να εκτελέσετε LTM στον οργανισμό σας
Για να ξεκινήσετε να εκτελείτε LTM εντός του δικού σας οργανισμού, ζητήστε πρώτα από τις εσωτερικές σας ομάδες ασφαλείας να διευθύνουν τις συνομιλίες σας LTM. Καθώς οι ομάδες μηχανικών σας εξοικειώνονται περισσότερο με τη διαδικασία, μπορούν να αρχίσουν να εκτελούν τα δικά τους μοντέλα απειλών.
Για να κλιμακώσετε τα LTM σε ολόκληρο τον οργανισμό σας, φροντίστε να δημιουργήσετε σαφείς και συνεπείς διαδικασίες και πρότυπα. Αυτό μπορεί να περιλαμβάνει τον καθορισμό ενός κοινού συνόλου κατηγοριών απειλών, τον εντοπισμό κοινών πηγών απειλών και τρωτών σημείων και την ανάπτυξη τυπικών διαδικασιών για την αξιολόγηση και τον μετριασμό των κινδύνων.
Συνήθη λάθη LTM προς αποφυγή
Οι άνθρωποι ασφαλείας είναι εξαιρετικοί στη μοντελοποίηση απειλών: Συχνά περιμένουν το χειρότερο και είναι αρκετά ευφάνταστοι ώστε να σκέφτονται περιπτώσεις αιχμής. Αλλά αυτές οι ιδιότητες τους οδηγούν επίσης να πέσουν σε παγίδες LTM, όπως:
- Εστίαση υπερβολικά σε ακραίες τιμές. Αυτό συμβαίνει κατά τη διάρκεια μιας άσκησης LTM, όταν το επίκεντρο της συνομιλίας απομακρύνεται από τις πιο ρεαλιστικές απειλές για τα ακραία σημεία της. Για να το λύσετε αυτό, φροντίστε να κατανοήσετε πλήρως το οικοσύστημά σας. Χρησιμοποιήστε πληροφορίες από τις πληροφορίες ασφαλείας και τη διαχείριση συμβάντων (SIEM) και άλλα συστήματα παρακολούθησης ασφαλείας. Εάν έχετε, για παράδειγμα, 10,000 επιθέσεις που πλήττουν τα τελικά σημεία της διεπαφής προγραμματισμού εφαρμογών (API), ξέρετε ότι σε αυτό επικεντρώνονται οι αντίπαλοί σας. Σε αυτό πρέπει να επικεντρωθεί και το LTM σας.
- Γίνομαι πολύ τεχνικός. Συχνά, μόλις ανακαλυφθεί μια θεωρητική ευπάθεια, οι τεχνικοί μεταπηδούν σε «λειτουργία επίλυσης προβλημάτων». Καταλήγουν να «λύνουν» το πρόβλημα και να μιλούν για τεχνική εφαρμογή αντί να μιλούν για τον αντίκτυπο που έχει η ευπάθεια στον οργανισμό. Εάν διαπιστώσετε ότι αυτό συμβαίνει κατά τη διάρκεια των ασκήσεων LTM, προσπαθήστε να ανακαλέσετε τη συζήτηση: Πείτε στην ομάδα ότι δεν πρόκειται να μιλήσετε ακόμη για την εφαρμογή. Μιλήστε μέσα από το κινδύνου και επιπτώσεις πρώτη.
- Υποθέτοντας ότι τα εργαλεία χειρίζονται από μόνα τους κινδύνους. Συχνά, οι προγραμματιστές αναμένουν από τα εργαλεία τους να βρουν όλα τα προβλήματα. Σε τελική ανάλυση, η πραγματικότητα είναι ότι ένα μοντέλο απειλής δεν προορίζεται να βρει μια συγκεκριμένη ευπάθεια. Μάλλον, έχει σκοπό να εξετάσει τον συνολικό κίνδυνο του συστήματος, σε αρχιτεκτονικό επίπεδο. Στην πραγματικότητα, ο ανασφαλής σχεδιασμός ήταν ένα από τα πιο πρόσφατα του OWASP Κορυφαίοι 10 κίνδυνοι για την ασφάλεια εφαρμογών Ιστού. Χρειάζεστε μοντέλα απειλών σε αρχιτεκτονικό επίπεδο, επειδή τα ζητήματα αρχιτεκτονικής ασφάλειας είναι τα πιο δύσκολα να διορθωθούν.
- Παράβλεψη πιθανών απειλών και τρωτών σημείων. Η μοντελοποίηση απειλών δεν είναι μια άσκηση που γίνεται μία φορά. Είναι σημαντικό να επανεκτιμάτε τακτικά πιθανές απειλές και τρωτά σημεία για να είστε μπροστά από τους διαρκώς μεταβαλλόμενους φορείς επιθέσεων και τους παράγοντες απειλών.
- Μη επανεξέταση στρατηγικών υλοποίησης υψηλού επιπέδου. Μόλις εντοπιστούν πιθανές απειλές και τρωτά σημεία, είναι σημαντικό να εφαρμοστούν αποτελεσματικά αντίμετρα για τον μετριασμό ή την εξάλειψή τους. Αυτό μπορεί να περιλαμβάνει την εφαρμογή τεχνικών ελέγχων, όπως επικύρωση εισόδου, έλεγχος πρόσβασης ή κρυπτογράφηση, καθώς και μη τεχνικούς ελέγχους, όπως εκπαίδευση εργαζομένων ή διοικητικές πολιτικές.
Συμπέρασμα
Το LTM είναι μια βελτιωμένη προσέγγιση για τον εντοπισμό, την αξιολόγηση και τον μετριασμό πιθανών απειλών και τρωτών σημείων ασφαλείας. Είναι εξαιρετικά φιλικό προς τους προγραμματιστές και χρησιμοποιεί ασφαλή κώδικα κάνει νωρίς μοντελοποίηση απειλών στον κύκλο ζωής ανάπτυξης λογισμικού (SDLC). Ακόμα καλύτερα, ένα LTM μπορεί να γίνει από τους ίδιους τους προγραμματιστές λογισμικού και τους αρχιτέκτονες, σε αντίθεση με το να βασίζονται σε εργαστήρια για την εκτέλεση μοντελοποίησης απειλών.
Με την ανάπτυξη και την εφαρμογή LTM με συνεπή και αποτελεσματικό τρόπο, οι οργανισμοί μπορούν γρήγορα και αποτελεσματικά να εντοπίσουν και να αντιμετωπίσουν τους πιο κρίσιμους κινδύνους ασφάλειας, αποφεύγοντας κοινές παγίδες και λάθη.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/vulnerabilities-threats/fast-track-secure-development-using-lite-threat-modeling
- 000
- 10
- 7
- a
- Σχετικά
- πρόσβαση
- απέναντι
- διεύθυνση
- διοικητικός
- Μετά το
- εμπρός
- Όλα
- alone
- ανάλυση
- και
- api
- app
- Εφαρμογή
- ασφάλεια εφαρμογών
- πλησιάζω
- αρχιτεκτονική
- αρχιτεκτονική
- επίθεση
- Επιθέσεις
- αποφεύγοντας
- πίσω
- επειδή
- πριν
- ΚΑΛΎΤΕΡΟΣ
- Καλύτερα
- φρένα
- έσπασε
- που ονομάζεται
- περιπτώσεις
- κατηγορίες
- Αλλαγές
- καθαρός
- κωδικός
- Κοινός
- Εταιρείες
- εταίρα
- εξαρτήματα
- περιεκτικός
- Εξετάστε
- συνεπής
- έλεγχος
- ελέγχους
- Συνομιλία
- συνομιλίες
- θα μπορούσε να
- κρίσιμης
- Πελάτες
- καθορίζοντας
- Υπηρεσίες
- λεπτομερής
- προγραμματιστές
- ανάπτυξη
- Ανάπτυξη
- διαφέρω
- δύσκολος
- ανακάλυψαν
- κατά την διάρκεια
- ευκολότερη
- οικοσύστημα
- άκρη
- Αποτελεσματικός
- αποτελεσματικά
- την εξάλειψη
- Υπάλληλος
- κρυπτογράφηση
- Μηχανική
- αρκετά
- εξασφαλίζοντας
- εγκαθιδρύω
- Συμβάν
- συνεχώς μεταβαλλόμενο
- παράδειγμα
- Άσκηση
- υφιστάμενα
- αναμένω
- εξαιρετικά
- Πτώση
- οικείος
- Χαρακτηριστικό
- Εύρεση
- Όνομα
- σταθερός
- Συγκέντρωση
- επικεντρώθηκε
- από
- παίρνω
- μετάβαση
- εξαιρετική
- λαβή
- συμβαίνω
- συμβαίνει
- υψηλού επιπέδου
- να χτυπήσει
- Τρύπες
- Πως
- HTTPS
- προσδιορίζονται
- προσδιορίσει
- προσδιορισμό
- Επίπτωση
- εφαρμογή
- εκτέλεση
- εκτελεστικών
- σημαντικό
- in
- περιλαμβάνουν
- πληροφορίες
- Υποδομή
- εισαγωγή
- αντί
- περιβάλλον λειτουργίας
- εσωτερικός
- εμπλέκω
- θέματα
- IT
- άλμα
- Ξέρω
- Labs
- οδηγήσει
- Επίπεδο
- ζωή
- ματιά
- που
- διαχείριση
- τρόπος
- χειροκίνητα
- λάθη
- Μετριάζω
- μετριασμός
- μετριασμός των κινδύνων
- Τρόπος
- μοντέλο
- μοντέλα
- παρακολούθηση
- περισσότερο
- πλέον
- κίνηση
- Ανάγκη
- αρνητικός
- Νέα
- ONE
- αντίθετος
- επιχειρήσεις
- οργανώσεις
- ΑΛΛΑ
- Η Εταιρεία μας
- φόρμες
- δική
- People
- Εκτελέστε
- εκτέλεση
- φάση
- καρφίτσες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Σακί
- Πολιτικές
- δυνατός
- δυναμικού
- Πρόβλημα
- επίλυση προβλήματος
- προβλήματα
- διαδικασίες
- διαδικασια μας
- Διεργασίες
- παραγωγή
- Προγραμματισμός
- ιδιότητες
- Ερωτήσεις
- γρήγορα
- RE
- ρεαλιστικός
- Πραγματικότητα
- πρόσφατος
- τακτικά
- κυκλοφόρησε
- επανεξέταση
- Κίνδυνος
- κινδύνους
- τρέξιμο
- Κλίμακα
- προστατευμένο περιβάλλον
- ασφάλεια
- κινδύνους ασφάλειας
- Απειλές ασφαλείας
- σειρά
- θα πρέπει να
- απλοποιημένη
- λογισμικό
- Προγραμματιστές λογισμικού
- ανάπτυξη λογισμικού
- SOLVE
- Επίλυση
- μερικοί
- Κάποιος
- Πηγές
- συγκεκριμένες
- ενδιαφερόμενα μέρη
- πρότυπο
- πρότυπα
- Εκκίνηση
- παραμονή
- κολλάει
- Ακόμη
- στρατηγικές
- εξορθολογισμένη
- τέτοιος
- σύστημα
- συστήματα
- Συζήτηση
- ομιλία
- ομάδες
- Τεχνικός
- Δοκιμές
- Η
- τους
- τους
- θεωρητικός
- πράγμα
- διεξοδικά
- απειλή
- απειλή
- απειλές
- Μέσω
- ώρα
- προς την
- πολύ
- εργαλεία
- παραδοσιακός
- Εκπαίδευση
- παγίδες
- συνήθως
- καταλαβαίνω
- χρήση
- επικύρωση
- εκδοχή
- Θέματα ευπάθειας
- ευπάθεια
- ιστός
- Εφαρμογή Web
- Τι
- Τι είναι
- Ποιό
- ενώ
- εντός
- χειρότερη
- θα
- Εσείς
- Σας
- zephyrnet