פיתוח חדש קורה כל הזמן בחברות תוכנה עסוקות. אבל האם מתרחש גם פיתוח מאובטח?
תהליך שנקרא מודל איומים לייט (LTM) מערב את בעלי העניין בפיתוח מאובטח, ומבטיח שהאבטחה תהיה אפויה ולא מוברגת. מהו LTM, וכיצד הוא שונה ממודל איומים מסורתי?
גישת מודל האיומים לייט
LTM היא גישה יעילה לזיהוי, הערכה והפחתת איומי אבטחה פוטנציאליים ופגיעויות במערכת או באפליקציה. זו גרסה פשוטה של מודל איומים מסורתי, הכרוך בדרך כלל בניתוח מקיף ומפורט יותר של סיכוני אבטחה.
עם LTM, אנחנו לא תוקעים סיכות ידנית למערכת או לאפליקציה כדי לראות אם היא נשברת, כפי שהיינו עושים עם בדיקת עט. במקום זאת, אנו חוטבים "חורים תיאורטיים" באפליקציה, חושפים אפיקי תקיפה ונקודות תורפה אפשריות.
הנה כמה שאלות שכדאי לשקול לשאול:
- מי ירצה לתקוף את המערכות שלנו?
- אילו רכיבים של המערכת ניתן לתקוף, וכיצד?
- מה הדבר הכי גרוע שיכול לקרות אם מישהו יפרוץ?
- איזו השפעה שלילית תהיה לכך על החברה שלנו? על הלקוחות שלנו?
מתי מתבצעות LTMs?
עדיף לבצע LTM בכל פעם שמתפרסם תכונה חדשה, משתנה בקרת אבטחה או כל שינוי בארכיטקטורת המערכת או התשתית הקיימת.
באופן אידיאלי, LTMs מבוצעים לאחר שלב התכנון ו לפני יישום. אחרי הכל, הרבה הרבה יותר קל לתקן פגיעות לפני שהיא יוצאת לייצור. כדי להרחיב את ה-LTMs ברחבי הארגון שלך, הקפד לבסס תהליכים וסטנדרטים ברורים ועקביים. זה יכול לכלול הגדרת קבוצה משותפת של קטגוריות איומים, זיהוי מקורות משותפים לאיומים ופגיעות ופיתוח נהלים סטנדרטיים להערכת סיכונים והפחתה.
כיצד לבצע LTMs בארגון שלך
כדי להתחיל לבצע LTMs בתוך הארגון שלך, תחילה בקש צוותי האבטחה הפנימיים שלך להוביל את שיחות LTM שלך. ככל שצוותי ההנדסה שלך יכירו יותר את התהליך, הם יכולים להתחיל לבצע מודלים משלהם לאיומים.
כדי להרחיב את ה-LTMs ברחבי הארגון שלך, הקפד לבסס תהליכים וסטנדרטים ברורים ועקביים. זה יכול לכלול הגדרת קבוצה משותפת של קטגוריות איומים, זיהוי מקורות משותפים לאיומים ופגיעות ופיתוח נהלים סטנדרטיים להערכת סיכונים והפחתה.
טעויות נפוצות של LTM שיש להימנע מהן
אנשי אבטחה מעולים במודלים של איומים: לעתים קרובות הם מצפים לגרוע ביותר והם בעלי דמיון מספיק כדי לחשוב על מקרי קצה. אבל תכונות אלה גם מובילות אותם ליפול למלכודות LTM, כגון:
- התמקדות יותר מדי בחריגות. זה מתרחש במהלך תרגיל LTM כאשר מוקד השיחה סוטה מהאיומים המציאותיים ביותר על החריגים שלו. כדי לפתור זאת, הקפד להבין היטב את המערכת האקולוגית שלך. השתמש במידע ממידע האבטחה וניהול האירועים שלך (SIEM) ומערכות ניטור אבטחה אחרות. אם יש לך, למשל, 10,000 התקפות שפוגעות בנקודות הקצה של ממשק תכנות יישומים (API), אתה יודע שבזה מתמקדים היריבים שלך. בזה צריך להתמקד גם ב-LTM שלך.
- נהיה טכני מדי. לעתים קרובות, לאחר שהתגלתה פגיעות תיאורטית, אנשים טכניים קופצים ל"מצב פתרון בעיות". בסופו של דבר הם "פותרים" את הבעיה ומדברים על יישום טכני במקום לדבר על ההשפעה שיש לפגיעות על הארגון. אם אתה מגלה שזה קורה במהלך תרגילי ה-LTM שלך, נסה למשוך את השיחה לאחור: אמור לצוות שאתה עדיין לא מתכוון לדבר על יישום. דבר דרך ה סיכון והשפעה ראשון.
- בהנחה שכלים לבדם מטפלים בסיכונים. לעתים קרובות, מפתחים מצפים שהכלים שלהם ימצאו את כל הבעיות. אחרי הכל, המציאות היא שמודל איום לא נועד למצוא פגיעות ספציפית. במקום זאת, זה נועד להסתכל על הסיכון הכולל של המערכת, ברמה האדריכלית. למעשה, עיצוב לא מאובטח היה אחד מהחדשים של OWASP 10 סיכוני האבטחה המובילים של יישומי אינטרנט. אתה צריך מודלים של איומים ברמה הארכיטקטונית מכיוון שבעיות אבטחה ארכיטקטוניות הן הקשות ביותר לתיקון.
- התעלמות מאיומים ופגיעויות פוטנציאליות. דוגמנות איומים היא לא תרגיל חד פעמי. חשוב להעריך מחדש באופן קבוע איומים ופגיעות פוטנציאליים כדי להקדים את וקטורי ההתקפה וגורמי האיומים המשתנים ללא הרף.
- לא בודקים אסטרטגיות יישום ברמה גבוהה. לאחר שזוהו איומים ופגיעות פוטנציאליים, חשוב ליישם אמצעי נגד יעילים כדי לצמצם אותם או להעלים אותם. זה עשוי לכלול יישום בקרות טכניות, כגון אימות קלט, בקרת גישה או הצפנה, כמו גם בקרות לא טכניות, כגון הכשרת עובדים או מדיניות ניהולית.
סיכום
LTM היא גישה יעילה לזיהוי, הערכה והפחתה של איומי אבטחה פוטנציאליים ופגיעויות. זה מאוד ידידותי למפתחים והוא מקבל קוד מאובטח עובר עושה מודל איומים מוקדם במחזור החיים של פיתוח תוכנה (SDLC). יתר על כן, LTM יכולים להיעשות על ידי מפתחי תוכנה וארכיטקטים בעצמם, בניגוד להסתמך על מעבדות להפעלת מודל איומים.
על ידי פיתוח ויישום LTMs באופן עקבי ואפקטיבי, ארגונים יכולים לזהות במהירות וביעילות את סיכוני האבטחה הקריטיים ביותר ולטפל בהם, תוך הימנעות ממלכודות וטעויות נפוצות.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://www.darkreading.com/vulnerabilities-threats/fast-track-secure-development-using-lite-threat-modeling
- 000
- 10
- 7
- a
- אודות
- גישה
- לרוחב
- כתובת
- מנהלי
- לאחר
- קדימה
- תעשיות
- לבד
- אנליזה
- ו
- API
- האפליקציה
- בקשה
- אבטחת יישומים
- גישה
- אדריכלי
- ארכיטקטורה
- לתקוף
- המתקפות
- הימנעות
- בחזרה
- כי
- לפני
- הטוב ביותר
- מוטב
- הפסקות
- חסר פרוטה
- נקרא
- מקרים
- קטגוריות
- שינויים
- ברור
- קוד
- Common
- חברות
- חברה
- רכיבים
- מַקִיף
- לשקול
- עִקבִי
- לִשְׁלוֹט
- בקרות
- שיחה
- שיחות
- יכול
- קריטי
- לקוחות
- הגדרה
- עיצוב
- מְפוֹרָט
- מפתחים
- מתפתח
- צעצועי התפתחות
- נבדלים
- קשה
- גילה
- בְּמַהֲלָך
- קל יותר
- המערכת האקולוגית
- אדג '
- אפקטיבי
- יעילות
- בוטל
- עובד
- הצף
- הנדסה
- מספיק
- הבטחתי
- להקים
- אירוע
- משתנה תמידית
- דוגמה
- תרגיל
- קיימים
- לצפות
- מאוד
- ליפול
- מוכר
- מאפיין
- ראשון
- לסדר
- להתמקד
- מרוכז
- החל מ-
- לקבל
- הולך
- גדול
- לטפל
- לקרות
- קורה
- ברמה גבוהה
- להכות
- חורים
- איך
- HTTPS
- מזוהה
- לזהות
- זיהוי
- פְּגִיעָה
- ליישם
- הפעלה
- יישום
- חשוב
- in
- לכלול
- מידע
- תשתית
- קלט
- במקום
- מִמְשָׁק
- פנימי
- לערב
- בעיות
- IT
- לקפוץ
- לדעת
- מעבדות
- עוֹפֶרֶת
- רמה
- החיים
- נראה
- עשוי
- ניהול
- דרך
- באופן ידני
- טעויות
- להקל
- מקלה
- הפחתת סיכונים
- מצב
- מודל
- מודלים
- ניטור
- יותר
- רוב
- נע
- צורך
- שלילי
- חדש
- ONE
- מִתנַגֵד
- ארגון
- ארגונים
- אחר
- החברה שלנו
- מקיף
- שֶׁלוֹ
- אֲנָשִׁים
- לְבַצֵעַ
- ביצוע
- שלב
- סיכות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- לִתְקוֹעַ
- מדיניות
- אפשרי
- פוטנציאל
- בעיה
- פתרון בעיות
- בעיות
- נהלים
- תהליך
- תהליכים
- הפקה
- תכנות
- תכונות
- שאלות
- מהירות
- RE
- מציאותי
- מציאות
- לאחרונה
- באופן קבוע
- שוחרר
- ביקורת
- הסיכון
- סיכונים
- הפעלה
- סולם
- לבטח
- אבטחה
- סיכוני אבטחה
- איומים ביטחוניים
- סט
- צריך
- פשוט
- תוכנה
- מפתחי תוכנה
- פיתוח תוכנה
- לפתור
- פותר
- כמה
- מישהו
- מקורות
- ספציפי
- בעלי עניין
- תֶקֶן
- תקנים
- התחלה
- להשאר
- דִבּוּק
- עוד
- אסטרטגיות
- זִרמִי
- כזה
- מערכת
- מערכות
- לדבר
- מדבר
- נבחרת
- צוותי
- טכני
- בדיקות
- השמיים
- שֶׁלָהֶם
- עצמם
- תיאורטי
- דבר
- בִּיסוֹדִיוּת
- איום
- איום שחקנים
- איומים
- דרך
- זמן
- ל
- גַם
- כלים
- מסורתי
- הדרכה
- מלכודות
- בדרך כלל
- להבין
- להשתמש
- אימות
- גרסה
- פגיעויות
- פגיעות
- אינטרנט
- אפליקציית רשת
- מה
- מה
- אשר
- בזמן
- בתוך
- גרוע
- היה
- אתה
- זפירנט