توسعه جدید همیشه در شرکت های نرم افزاری شلوغ اتفاق می افتد. اما آیا توسعه امن نیز اتفاق می افتد؟
فرآیندی به نام مدلسازی تهدید ساده (LTM) شامل ذینفعان در توسعه ایمن میشود و اطمینان حاصل میکند که امنیت ایجاد شده است و پیچ و مهره نشده است. LTM چیست و چه تفاوتی با مدل سازی تهدید سنتی دارد؟
رویکرد مدلسازی تهدید ساده
LTM یک رویکرد ساده برای شناسایی، ارزیابی و کاهش تهدیدات امنیتی و آسیب پذیری های احتمالی در یک سیستم یا برنامه است. این یک نسخه ساده شده است مدل سازی تهدید سنتی، که معمولاً شامل تجزیه و تحلیل جامع تر و دقیق تری از خطرات امنیتی است.
با LTM، مانند تست قلم، پینها را به صورت دستی به سیستم یا برنامه نمیچسبانیم تا ببینیم آیا خراب میشود. در عوض، ما "حفره های نظری" را در برنامه ایجاد می کنیم و راه های حمله و آسیب پذیری های احتمالی را کشف می کنیم.
در اینجا چند سوال وجود دارد که باید در نظر بگیرید:
- چه کسی می خواهد به سیستم های ما حمله کند؟
- چه اجزای سیستم را می توان مورد حمله قرار داد و چگونه؟
- بدترین اتفاقی که ممکن است بیفتد در صورت نفوذ کسی چیست؟
- این چه تاثیر منفی بر شرکت ما خواهد داشت؟ بر روی مشتریان ما؟
LTM چه زمانی انجام می شود؟
بهتر است هر زمان که یک ویژگی جدید منتشر شد، یک کنترل امنیتی تغییر کرد یا هر تغییری در معماری یا زیرساخت سیستم موجود ایجاد شد، LTM انجام شود.
در حالت ایده آل، LTM ها انجام می شوند بعد از مرحله طراحی و قبل از پیاده سازی. به هر حال، رفع آسیبپذیری قبل از عرضه به تولید، بسیار آسانتر است. برای مقیاس بندی LTM ها در سراسر سازمان خود، مطمئن شوید که فرآیندها و استانداردهای واضح و منسجمی را ایجاد کنید. این می تواند شامل تعریف مجموعه ای مشترک از دسته بندی های تهدید، شناسایی منابع مشترک تهدیدات و آسیب پذیری ها، و توسعه روش های استاندارد برای ارزیابی و کاهش خطرات باشد.
نحوه اجرای LTM در سازمان شما
برای شروع اجرای LTM در سازمان خود، ابتدا از تیم های امنیتی داخلی خود بخواهید مکالمات LTM شما را رهبری کنند. همانطور که تیم های مهندسی شما با این فرآیند بیشتر آشنا می شوند، می توانند مدل های تهدید خود را اجرا کنند.
برای مقیاس بندی LTM ها در سراسر سازمان خود، مطمئن شوید که فرآیندها و استانداردهای واضح و منسجمی را ایجاد کنید. این می تواند شامل تعریف مجموعه ای مشترک از دسته بندی های تهدید، شناسایی منابع مشترک تهدیدات و آسیب پذیری ها، و توسعه روش های استاندارد برای ارزیابی و کاهش خطرات باشد.
اشتباهات رایج LTM که باید از آنها اجتناب کرد
افراد امنیتی در مدلسازی تهدید فوقالعاده هستند: آنها اغلب انتظار بدترینها را دارند و به اندازهای تخیل هستند که به موارد حاشیهای فکر کنند. اما این ویژگی ها باعث می شود که آنها در دام LTM بیفتند، مانند:
- تمرکز بیش از حد بر روی موارد پرت. این در طول تمرین LTM زمانی اتفاق میافتد که تمرکز مکالمه از واقع بینانهترین تهدیدات به نقاط دورتر آن منحرف میشود. برای حل این مشکل، مطمئن شوید که اکوسیستم خود را کاملاً درک کرده اید. از اطلاعات مربوط به اطلاعات امنیتی و مدیریت رویداد (SIEM) و سایر سیستمهای نظارت امنیتی استفاده کنید. اگر مثلاً 10,000 حمله به نقاط پایانی رابط برنامه نویسی برنامه (API) خود داشته باشید، می دانید که دشمنان شما روی این موضوع متمرکز هستند. این همان چیزی است که LTM شما نیز باید روی آن متمرکز شود.
- خیلی فنی شدن اغلب، هنگامی که یک آسیبپذیری نظری کشف شد، افراد فنی به «حالت حل مشکل» میروند. آنها در نهایت به "حل" مشکل و صحبت در مورد اجرای فنی به جای صحبت در مورد تأثیر آسیب پذیری بر سازمان، می پردازند. اگر متوجه شدید که در طول تمرینات LTM شما این اتفاق می افتد، سعی کنید مکالمه را به عقب برگردانید: به تیم بگویید که هنوز در مورد اجرا صحبت نمی کنید. صحبت از طریق ریسک و تاثیر برای اولین بار.
- با فرض اینکه ابزارها به تنهایی ریسک ها را کنترل می کنند. اغلب، توسعه دهندگان انتظار دارند که ابزارهای آنها تمام مشکلات را پیدا کنند. به هر حال، واقعیت این است که یک مدل تهدید برای یافتن آسیبپذیری خاصی نیست. در عوض، هدف آن بررسی ریسک کلی سیستم، در سطح معماری است. در واقع، طراحی ناامن یکی از جدیدترین طراحی های OWASP بود 10 خطر برتر امنیت برنامه های وب. شما به مدلهای تهدید در سطح معماری نیاز دارید، زیرا رفع مشکلات امنیتی معماری سختترین است.
- نادیده گرفتن تهدیدها و آسیب پذیری های احتمالی. مدل سازی تهدید یک تمرین یک بار مصرف نیست. ارزیابی مجدد تهدیدها و آسیبپذیریهای احتمالی بهطور منظم برای جلوتر از بردارهای حمله و بازیگران تهدید که همیشه در حال تغییر هستند، مهم است.
- عدم بازنگری استراتژی های اجرایی در سطح بالا. هنگامی که تهدیدها و آسیب پذیری های بالقوه شناسایی شدند، مهم است که اقدامات متقابل مؤثری برای کاهش یا از بین بردن آنها اجرا کنید. این ممکن است شامل اجرای کنترلهای فنی، مانند اعتبار سنجی ورودی، کنترل دسترسی یا رمزگذاری، و همچنین کنترلهای غیرفنی، مانند آموزش کارکنان یا سیاستهای اداری باشد.
نتیجه
LTM یک رویکرد ساده برای شناسایی، ارزیابی و کاهش تهدیدات و آسیب پذیری های امنیتی بالقوه است. این برنامه بسیار مناسب برای توسعهدهندگان است و کدهای امنی را دریافت میکند انجام مدلسازی تهدید زودهنگام در چرخه عمر توسعه نرم افزار (SDLC). بهتر از آن، LTM را میتوان توسط خود توسعهدهندگان نرمافزار و معماران انجام داد، نه اینکه برای اجرای مدلسازی تهدید به آزمایشگاهها اعتماد کنند.
با توسعه و پیاده سازی LTM ها به شیوه ای سازگار و موثر، سازمان ها می توانند به سرعت و به طور موثر بحرانی ترین خطرات امنیتی را شناسایی و به آنها رسیدگی کنند، در حالی که از اشتباهات و مشکلات رایج جلوگیری می کنند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://www.darkreading.com/vulnerabilities-threats/fast-track-secure-development-using-lite-threat-modeling
- 000
- 10
- 7
- a
- درباره ما
- دسترسی
- در میان
- نشانی
- اداری
- پس از
- پیش
- معرفی
- تنها
- تحلیل
- و
- API
- نرم افزار
- کاربرد
- امنیت نرم افزار
- روش
- معماری
- معماری
- حمله
- حمله
- اجتناب از
- به عقب
- زیرا
- قبل از
- بهترین
- بهتر
- می شکند
- شکست
- نام
- موارد
- دسته
- تبادل
- واضح
- رمز
- مشترک
- شرکت
- شرکت
- اجزاء
- جامع
- در نظر بگیرید
- استوار
- کنترل
- گروه شاهد
- گفتگو
- گفتگو
- میتوانست
- بحرانی
- مشتریان
- تعریف کردن
- طرح
- دقیق
- توسعه دهندگان
- در حال توسعه
- پروژه
- متفاوت است
- مشکل
- کشف
- در طی
- آسان تر
- اکوسیستم
- لبه
- موثر
- به طور موثر
- از بین بردن
- کارمند
- رمزگذاری
- مهندسی
- کافی
- حصول اطمینان از
- ایجاد
- واقعه
- همیشه در حال تغییر
- مثال
- ورزش
- موجود
- انتظار
- خیلی
- سقوط
- آشنا
- ویژگی
- پیدا کردن
- نام خانوادگی
- رفع
- تمرکز
- متمرکز شده است
- از جانب
- دریافت کنید
- رفتن
- بزرگ
- دسته
- رخ دادن
- اتفاق می افتد
- در سطح بالا
- ضربه زدن
- سوراخ
- چگونه
- HTTPS
- شناسایی
- شناسایی
- شناسایی
- تأثیر
- انجام
- پیاده سازی
- اجرای
- مهم
- in
- شامل
- اطلاعات
- شالوده
- ورودی
- در عوض
- رابط
- داخلی
- شامل
- مسائل
- IT
- پرش
- دانستن
- آزمایشگاه
- رهبری
- سطح
- زندگی
- نگاه کنيد
- ساخته
- مدیریت
- روش
- دستی
- اشتباهات
- کاهش
- تسکین دهنده
- کاهش خطرات
- حالت
- مدل
- مدل
- نظارت بر
- بیش
- اکثر
- متحرک
- نیاز
- منفی
- جدید
- ONE
- مخالف
- کدام سازمان ها
- سازمان های
- دیگر
- شرکت ما
- به طور کلی
- خود
- مردم
- انجام
- انجام
- فاز
- پین
- افلاطون
- هوش داده افلاطون
- PlatoData
- بهم زدن
- سیاست
- ممکن
- پتانسیل
- مشکل
- حل مسئله
- مشکلات
- روش
- روند
- فرآیندهای
- تولید
- برنامه نويسي
- کیفیت
- سوالات
- به سرعت
- RE
- واقع بینانه
- واقعیت
- اخیر
- به طور منظم
- منتشر شد
- بازبینی
- خطر
- خطرات
- دویدن
- مقیاس
- امن
- تیم امنیت لاتاری
- خطرات امنیتی
- تهدیدات امنیتی
- تنظیم
- باید
- ساده شده
- نرم افزار
- توسعه دهندگان نرم افزار
- توسعه نرم افزار
- حل
- حل کردن
- برخی از
- کسی
- منابع
- خاص
- سهامداران
- استاندارد
- استانداردهای
- شروع
- ماندن
- چسبیده
- هنوز
- استراتژی ها
- ساده
- چنین
- سیستم
- سیستم های
- صحبت
- سخنگو
- تیم
- تیم ها
- فنی
- تست
- La
- شان
- خودشان
- نظری
- چیز
- به طور کامل
- تهدید
- بازیگران تهدید
- تهدید
- از طریق
- زمان
- به
- هم
- ابزار
- سنتی
- آموزش
- تله
- به طور معمول
- فهمیدن
- استفاده کنید
- اعتبار سنجی
- نسخه
- آسیب پذیری ها
- آسیب پذیری
- وب
- برنامه تحت وب
- چی
- چه شده است
- که
- در حین
- در داخل
- بدترین
- خواهد بود
- شما
- شما
- زفیرنت
