Noile dezvoltări au loc tot timpul la companiile de software ocupate. Dar are loc și dezvoltarea sigură?
Un proces numit Lite Threat Modeling (LTM) implică părțile interesate în dezvoltarea securizată, asigurând că securitatea este integrată și nu fixată. Ce este LTM și prin ce diferă de modelarea tradițională a amenințărilor?
Abordarea lite de modelare a amenințărilor
LTM este o abordare simplificată pentru a identifica, evalua și atenua potențialele amenințări de securitate și vulnerabilități într-un sistem sau aplicație. Este o versiune simplificată a modelarea tradițională a amenințărilor, care implică de obicei o analiză mai cuprinzătoare și mai detaliată a riscurilor de securitate.
Cu LTM, nu introducem manual știfturi în sistem sau aplicație pentru a vedea dacă se rupe, așa cum am face cu testarea stiloului. Mai degrabă, facem „găuri teoretice” în aplicație, descoperind posibile căi de atac și vulnerabilități.
Iată câteva întrebări pe care trebuie să le puneți:
- Cine ar dori să ne atace sistemele?
- Ce componente ale sistemului pot fi atacate și cum?
- Care este cel mai rău lucru care s-ar putea întâmpla dacă cineva ar intra prin efracție?
- Ce impact negativ ar avea acest lucru asupra companiei noastre? Pe clienții noștri?
Când sunt efectuate LTM-urile?
Cel mai bine este să efectuați un LTM ori de câte ori este lansată o nouă caracteristică, se modifică un control de securitate sau se fac modificări la arhitectura sau infrastructura sistemului existent.
În mod ideal, sunt efectuate LTM-uri după faza de proiectare și înainte implementare. La urma urmei, este mult, mult mai ușor să remediați o vulnerabilitate înainte de a fi lansată în producție. Pentru a scala LTM-urile în organizația dvs., asigurați-vă că stabiliți procese și standarde clare și consecvente. Aceasta poate implica definirea unui set comun de categorii de amenințări, identificarea surselor comune de amenințări și vulnerabilități și dezvoltarea unor proceduri standard pentru evaluarea și atenuarea riscurilor.
Cum să efectuați LTM-uri în organizația dvs
Pentru a începe să efectuați LTM-uri în cadrul propriei organizații, mai întâi solicitați echipelor interne de securitate să vă conducă conversațiile LTM. Pe măsură ce echipele dvs. de ingineri se familiarizează mai bine cu procesul, ele pot începe să-și realizeze propriile modele de amenințări.
Pentru a scala LTM-urile în organizația dvs., asigurați-vă că stabiliți procese și standarde clare și consecvente. Aceasta poate implica definirea unui set comun de categorii de amenințări, identificarea surselor comune de amenințări și vulnerabilități și dezvoltarea unor proceduri standard pentru evaluarea și atenuarea riscurilor.
Greșeli comune LTM de evitat
Oamenii de securitate sunt grozavi la modelarea amenințărilor: deseori se așteaptă la ce este mai rău și sunt suficient de imaginativi pentru a gândi cazuri de margine. Dar aceste calități îi fac și să cadă în capcane LTM, cum ar fi:
- Concentrarea prea mult pe valori aberante. Acest lucru se întâmplă în timpul unui exercițiu LTM, când concentrarea conversației se îndepărtează de la cele mai realiste amenințări la adresa valorii aberante. Pentru a rezolva acest lucru, asigurați-vă că înțelegeți bine ecosistemul dvs. Utilizați informațiile din gestionarea informațiilor și evenimentelor de securitate (SIEM) și din alte sisteme de monitorizare a securității. Dacă aveți, de exemplu, 10,000 de atacuri care lovesc punctele finale ale interfeței de programare a aplicațiilor (API), de exemplu, știți că pe asta se concentrează adversarii. Acesta este ceea ce ar trebui să se concentreze și LTM-ul tău.
- Devin prea tehnic. Adesea, odată ce o vulnerabilitate teoretică a fost descoperită, oamenii tehnici trec în „modul de rezolvare a problemelor”. Aceștia ajung să „rezolve” problema și să vorbească despre implementarea tehnică în loc să vorbească despre impactul pe care îl are vulnerabilitatea asupra organizației. Dacă descoperiți că acest lucru se întâmplă în timpul exercițiilor LTM, încercați să trageți conversația înapoi: spuneți echipei că nu veți vorbi încă despre implementare. Vorbește prin risc și impact mai întâi.
- Presupunând că instrumentele singure gestionează riscurile. Deseori, dezvoltatorii se așteaptă ca instrumentele lor să găsească toate problemele. La urma urmei, realitatea este că un model de amenințare nu este menit să găsească o anumită vulnerabilitate. Mai degrabă, este menit să se uite la riscul general al sistemului, la nivel arhitectural. De fapt, designul nesigur a fost unul dintre cele mai recente ale OWASP Top 10 riscuri de securitate a aplicațiilor web. Aveți nevoie de modele de amenințare la nivel arhitectural, deoarece problemele de securitate arhitecturală sunt cel mai greu de rezolvat.
- Trecând cu vederea potențialele amenințări și vulnerabilități. Modelarea amenințărilor nu este un exercițiu unic. Este important să reevaluăm în mod regulat potențialele amenințări și vulnerabilități pentru a rămâne în fața vectorilor de atac și ai amenințărilor în continuă schimbare.
- Nu revizuirea strategiilor de implementare la nivel înalt. Odată ce potențialele amenințări și vulnerabilități au fost identificate, este important să implementați contramăsuri eficiente pentru a le atenua sau elimina. Aceasta poate include implementarea controalelor tehnice, cum ar fi validarea intrărilor, controlul accesului sau criptarea, precum și controale netehnice, cum ar fi instruirea angajaților sau politicile administrative.
Concluzie
LTM este o abordare simplificată pentru identificarea, evaluarea și atenuarea potențialelor amenințări de securitate și vulnerabilități. Este extrem de prietenos cu dezvoltatorii și trece codul securizat modelarea amenințărilor devreme în ciclul de viață al dezvoltării software (SDLC). Mai bine, un LTM poate fi realizat de către dezvoltatorii de software și arhitecții înșiși, spre deosebire de a se baza pe laboratoare pentru a rula modelarea amenințărilor.
Prin dezvoltarea și implementarea LTM-urilor într-o manieră consecventă și eficientă, organizațiile pot identifica și aborda rapid și eficient cele mai critice riscuri de securitate, evitând în același timp capcanele și greșelile comune.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://www.darkreading.com/vulnerabilities-threats/fast-track-secure-development-using-lite-threat-modeling
- 000
- 10
- 7
- a
- Despre Noi
- acces
- peste
- adresa
- administrativ
- După
- înainte
- TOATE
- singur
- analiză
- și
- api
- aplicaţia
- aplicație
- securitatea aplicațiilor
- abordare
- arhitectural
- arhitectură
- ataca
- Atacuri
- evitarea
- înapoi
- deoarece
- înainte
- CEL MAI BUN
- Mai bine
- pauze
- Rupt
- denumit
- cazuri
- categorii
- Modificări
- clar
- cod
- Comun
- Companii
- companie
- componente
- cuprinzător
- Lua în considerare
- consistent
- Control
- controale
- Conversație
- conversații
- ar putea
- critic
- clienţii care
- definire
- Amenajări
- detaliat
- Dezvoltatorii
- în curs de dezvoltare
- Dezvoltare
- diferi
- dificil
- a descoperit
- în timpul
- mai ușor
- ecosistem
- Margine
- Eficace
- în mod eficient
- elimina
- Angajat
- criptare
- Inginerie
- suficient de
- asigurare
- stabili
- eveniment
- mereu în schimbare
- exemplu
- Exercita
- existent
- aștepta
- extrem
- Cădea
- familiar
- Caracteristică
- Găsi
- First
- Repara
- Concentra
- concentrat
- din
- obține
- merge
- mare
- manipula
- întâmpla
- se întâmplă
- la nivel înalt
- lovind
- găuri
- Cum
- HTTPS
- identificat
- identifica
- identificarea
- Impactul
- punerea în aplicare a
- implementarea
- Punere în aplicare a
- important
- in
- include
- informații
- Infrastructură
- intrare
- in schimb
- interfaţă
- intern
- implica
- probleme de
- IT
- a sari
- Cunoaște
- Labs
- conduce
- Nivel
- Viaţă
- Uite
- făcut
- administrare
- manieră
- manual
- greşeli
- diminua
- atenuant
- riscuri atenuante
- mod
- model
- Modele
- Monitorizarea
- mai mult
- cele mai multe
- în mişcare
- Nevoie
- negativ
- Nou
- ONE
- opus
- organizație
- organizații
- Altele
- Compania noastra
- global
- propriu
- oameni
- Efectua
- efectuarea
- fază
- pini
- Plato
- Informații despre date Platon
- PlatoData
- Împungere
- Politicile
- posibil
- potenţial
- Problemă
- de rezolvare a problemelor
- probleme
- Proceduri
- proces
- procese
- producere
- Programare
- calităţi
- Întrebări
- repede
- RE
- realist
- Realitate
- recent
- regulat
- eliberat
- revizuirea
- Risc
- Riscurile
- Alerga
- Scară
- sigur
- securitate
- riscuri de securitate
- Amenințări la adresa securității
- set
- să
- simplificată
- Software
- Dezvoltatori de software
- de dezvoltare de software
- REZOLVAREA
- Rezolvarea
- unele
- Cineva
- Surse
- specific
- părțile interesate
- standard
- standarde
- Începe
- şedere
- lipirea
- Încă
- strategii
- raționalizate
- astfel de
- sistem
- sisteme
- Vorbi
- vorbesc
- echipă
- echipe
- Tehnic
- Testarea
- lor
- se
- teoretic
- lucru
- complet
- amenințare
- actori amenințători
- amenințări
- Prin
- timp
- la
- de asemenea
- Unelte
- tradiţional
- Pregătire
- capcane
- tipic
- înţelege
- utilizare
- validare
- versiune
- Vulnerabilitățile
- vulnerabilitate
- web
- aplicatie web
- Ce
- Ce este
- care
- în timp ce
- în
- Mini rulouri de absorbție
- ar
- Tu
- Ta
- zephyrnet
