การพัฒนาใหม่ๆ เกิดขึ้นตลอดเวลาในบริษัทซอฟต์แวร์ที่มีงานยุ่ง แต่การพัฒนาที่ปลอดภัยก็เกิดขึ้นเช่นกัน?
กระบวนการที่เรียกว่า Lite Threat Modeling (LTM) เกี่ยวข้องกับผู้มีส่วนได้ส่วนเสียในการพัฒนาการรักษาความปลอดภัย เพื่อให้มั่นใจว่ามีการรักษาความปลอดภัยและไม่ถูกปิดตาย LTM คืออะไร และแตกต่างจากการสร้างแบบจำลองภัยคุกคามแบบดั้งเดิมอย่างไร
แนวทางการสร้างแบบจำลองภัยคุกคาม Lite
LTM เป็นวิธีการที่คล่องตัวในการระบุ ประเมิน และลดภัยคุกคามด้านความปลอดภัยที่อาจเกิดขึ้นและช่องโหว่ในระบบหรือแอปพลิเคชัน เป็นเวอร์ชันที่เรียบง่ายของ การสร้างแบบจำลองภัยคุกคามแบบดั้งเดิมซึ่งโดยทั่วไปจะเกี่ยวข้องกับการวิเคราะห์ความเสี่ยงด้านความปลอดภัยที่ครอบคลุมและละเอียดมากขึ้น
ด้วย LTM เราไม่ได้ติดพินเข้ากับระบบหรือแอพด้วยตนเองเพื่อดูว่ามันพังหรือไม่ เหมือนที่เราทำในการทดสอบด้วยปากกา แต่เราเจาะ “ช่องโหว่ทางทฤษฎี” ในแอปพลิเคชัน เพื่อเปิดเผยช่องทางการโจมตีและช่องโหว่ที่เป็นไปได้
ต่อไปนี้เป็นคำถามที่ควรพิจารณา:
- ใครจะโจมตีระบบของเรา
- องค์ประกอบใดของระบบที่สามารถถูกโจมตี และอย่างไร
- สิ่งที่เลวร้ายที่สุดที่อาจเกิดขึ้นหากมีคนบุกเข้ามาคืออะไร?
- สิ่งนี้จะส่งผลเสียต่อบริษัทของเราอย่างไรบ้าง กับลูกค้าของเรา?
LTMs ดำเนินการเมื่อใด
วิธีที่ดีที่สุดคือดำเนินการ LTM เมื่อใดก็ตามที่มีการเผยแพร่คุณลักษณะใหม่ มีการเปลี่ยนแปลงการควบคุมความปลอดภัย หรือมีการเปลี่ยนแปลงใดๆ กับสถาปัตยกรรมหรือโครงสร้างพื้นฐานของระบบที่มีอยู่
ตามหลักการแล้ว LTM จะดำเนินการ หลังจาก ขั้นตอนการออกแบบและ ก่อน การนำไปใช้งาน ท้ายที่สุด มันง่ายกว่ามากในการแก้ไขช่องโหว่ก่อนที่จะปล่อยให้ใช้งานจริง หากต้องการปรับขนาด LTM ทั่วทั้งองค์กร คุณต้องสร้างกระบวนการและมาตรฐานที่ชัดเจนและสอดคล้องกัน สิ่งนี้สามารถเกี่ยวข้องกับการกำหนดชุดของหมวดหมู่ภัยคุกคามทั่วไป การระบุแหล่งที่มาของภัยคุกคามและช่องโหว่ทั่วไป และพัฒนาขั้นตอนมาตรฐานสำหรับการประเมินและลดความเสี่ยง
วิธีดำเนินการ LTM ในองค์กรของคุณ
หากต้องการเริ่มดำเนินการ LTM ภายในองค์กรของคุณ ก่อนอื่นให้ทีมรักษาความปลอดภัยภายในเป็นผู้นำการสนทนา LTM ของคุณ เมื่อทีมวิศวกรรมของคุณคุ้นเคยกับกระบวนการนี้มากขึ้น พวกเขาก็สามารถเริ่มใช้โมเดลภัยคุกคามของตนเองได้
หากต้องการปรับขนาด LTM ทั่วทั้งองค์กร คุณต้องสร้างกระบวนการและมาตรฐานที่ชัดเจนและสอดคล้องกัน สิ่งนี้สามารถเกี่ยวข้องกับการกำหนดชุดของหมวดหมู่ภัยคุกคามทั่วไป การระบุแหล่งที่มาของภัยคุกคามและช่องโหว่ทั่วไป และพัฒนาขั้นตอนมาตรฐานสำหรับการประเมินและลดความเสี่ยง
ข้อผิดพลาด LTM ทั่วไปที่ควรหลีกเลี่ยง
พนักงานรักษาความปลอดภัยเก่งในการสร้างแบบจำลองภัยคุกคาม: พวกเขามักจะคาดหวังสิ่งที่เลวร้ายที่สุดและมีจินตนาการมากพอที่จะคิดหาขอบกรณี แต่คุณสมบัติเหล่านี้ยังทำให้พวกเขาตกหลุมพราง LTM เช่น:
- มุ่งเน้นไปที่ค่าผิดปกติมากเกินไป เหตุการณ์นี้เกิดขึ้นระหว่างการฝึก LTM เมื่อจุดสนใจของการสนทนาเบี่ยงเบนไปจากภัยคุกคามที่เหมือนจริงที่สุดไปสู่ค่าผิดปกติ ในการแก้ปัญหานี้ คุณต้องเข้าใจระบบนิเวศของคุณอย่างถี่ถ้วน ใช้ข้อมูลจากข้อมูลความปลอดภัยและการจัดการเหตุการณ์ (SIEM) และระบบตรวจสอบความปลอดภัยอื่นๆ ตัวอย่างเช่น ถ้าคุณมีการโจมตี 10,000 ครั้งที่โจมตีที่ปลายทางของ Application Programming Interface (API) คุณก็รู้ว่านั่นคือสิ่งที่ศัตรูของคุณมุ่งความสนใจไป นี่คือสิ่งที่ LTM ของคุณควรให้ความสำคัญเช่นกัน
- รับเทคนิคมากเกินไป บ่อยครั้ง เมื่อมีการค้นพบช่องโหว่ทางทฤษฎี บุคลากรด้านเทคนิคจะเข้าสู่ "โหมดการแก้ปัญหา" พวกเขาลงเอยด้วยการ "แก้ปัญหา" และพูดคุยเกี่ยวกับการใช้งานด้านเทคนิคแทนที่จะพูดถึงผลกระทบที่ความเปราะบางมีต่อองค์กร หากคุณพบว่าสิ่งนี้เกิดขึ้นระหว่างแบบฝึกหัด LTM ให้ลองดึงการสนทนากลับมา: บอกทีมว่าคุณยังไม่ได้พูดคุยเกี่ยวกับการนำไปใช้ พูดคุยผ่าน ความเสี่ยงและผลกระทบ ก่อน
- สมมติว่าเครื่องมือจัดการความเสี่ยงเพียงอย่างเดียว บ่อยครั้งที่นักพัฒนาคาดหวังว่าเครื่องมือของพวกเขาจะค้นหาปัญหาทั้งหมด ท้ายที่สุดแล้ว ความจริงก็คือโมเดลภัยคุกคามไม่ได้มีไว้เพื่อค้นหาช่องโหว่เฉพาะเจาะจง แต่หมายถึงการดูความเสี่ยงโดยรวมของระบบ ในระดับสถาปัตยกรรม ในความเป็นจริง การออกแบบที่ไม่ปลอดภัยเป็นหนึ่งใน OWASP ล่าสุด ความเสี่ยงด้านความปลอดภัยของเว็บแอปพลิเคชัน 10 อันดับแรก. คุณต้องมีแบบจำลองภัยคุกคามในระดับสถาปัตยกรรม เนื่องจากปัญหาด้านความปลอดภัยทางสถาปัตยกรรมเป็นสิ่งที่แก้ไขได้ยากที่สุด
- มองข้ามภัยคุกคามและช่องโหว่ที่อาจเกิดขึ้น การสร้างแบบจำลองภัยคุกคามไม่ใช่แบบฝึกหัดเพียงครั้งเดียว สิ่งสำคัญคือต้องประเมินภัยคุกคามและช่องโหว่ที่อาจเกิดขึ้นซ้ำอย่างสม่ำเสมอ เพื่อให้นำหน้าเวกเตอร์การโจมตีและตัวแสดงภัยคุกคามที่เปลี่ยนแปลงตลอดเวลา
- ไม่ทบทวนกลยุทธ์การดำเนินการระดับสูง เมื่อตรวจพบภัยคุกคามและช่องโหว่ที่อาจเกิดขึ้นแล้ว สิ่งสำคัญคือต้องใช้มาตรการรับมือที่มีประสิทธิภาพเพื่อลดหรือกำจัดสิ่งเหล่านั้น ซึ่งอาจรวมถึงการใช้การควบคุมทางเทคนิค เช่น การตรวจสอบอินพุต การควบคุมการเข้าถึงหรือการเข้ารหัส ตลอดจนการควบคุมที่ไม่ใช่ด้านเทคนิค เช่น การฝึกอบรมพนักงานหรือนโยบายการบริหาร
สรุป
LTM เป็นวิธีการที่มีประสิทธิภาพในการระบุ ประเมิน และบรรเทาภัยคุกคามด้านความปลอดภัยและช่องโหว่ที่อาจเกิดขึ้น เป็นมิตรกับนักพัฒนาอย่างมากและได้รับรหัสที่ปลอดภัย ทำการสร้างแบบจำลองภัยคุกคามตั้งแต่เนิ่นๆ ในวงจรชีวิตการพัฒนาซอฟต์แวร์ (SDLC) ยังดีกว่า LTM สามารถทำได้โดยนักพัฒนาซอฟต์แวร์และสถาปนิกเอง แทนที่จะอาศัยห้องทดลองเพื่อเรียกใช้การสร้างแบบจำลองภัยคุกคาม
ด้วยการพัฒนาและปรับใช้ LTM ในลักษณะที่สอดคล้องและมีประสิทธิภาพ องค์กรสามารถระบุและจัดการกับความเสี่ยงด้านความปลอดภัยที่สำคัญที่สุดได้อย่างรวดเร็วและมีประสิทธิภาพ ในขณะที่หลีกเลี่ยงหลุมพรางและข้อผิดพลาดทั่วไป
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/vulnerabilities-threats/fast-track-secure-development-using-lite-threat-modeling
- 000
- 10
- 7
- a
- เกี่ยวกับเรา
- เข้า
- ข้าม
- ที่อยู่
- การบริหาร
- หลังจาก
- ก่อน
- ทั้งหมด
- คนเดียว
- การวิเคราะห์
- และ
- API
- app
- การใช้งาน
- ความปลอดภัยของแอปพลิเคชัน
- เข้าใกล้
- ในเชิงสถาปัตยกรรม
- สถาปัตยกรรม
- โจมตี
- การโจมตี
- หลีกเลี่ยง
- กลับ
- เพราะ
- ก่อน
- ที่ดีที่สุด
- ดีกว่า
- แบ่ง
- Broke
- ที่เรียกว่า
- กรณี
- หมวดหมู่
- การเปลี่ยนแปลง
- ชัดเจน
- รหัส
- ร่วมกัน
- บริษัท
- บริษัท
- ส่วนประกอบ
- ครอบคลุม
- พิจารณา
- คงเส้นคงวา
- ควบคุม
- การควบคุม
- การสนทนา
- การสนทนา
- ได้
- วิกฤติ
- ลูกค้า
- การกำหนด
- ออกแบบ
- รายละเอียด
- นักพัฒนา
- ที่กำลังพัฒนา
- พัฒนาการ
- แตกต่าง
- ยาก
- ค้นพบ
- ในระหว่าง
- ง่ายดาย
- ระบบนิเวศ
- ขอบ
- มีประสิทธิภาพ
- มีประสิทธิภาพ
- กำจัด
- ลูกจ้าง
- การเข้ารหัสลับ
- ชั้นเยี่ยม
- พอ
- การสร้างความมั่นใจ
- สร้าง
- เหตุการณ์
- เปลี่ยนแปลงตลอดเวลา
- ตัวอย่าง
- การออกกำลังกาย
- ที่มีอยู่
- คาดหวัง
- อย่างยิ่ง
- ตก
- คุ้นเคย
- ลักษณะ
- หา
- ชื่อจริง
- แก้ไขปัญหา
- โฟกัส
- มุ่งเน้น
- ราคาเริ่มต้นที่
- ได้รับ
- ไป
- ยิ่งใหญ่
- จัดการ
- เกิดขึ้น
- ที่เกิดขึ้น
- ระดับสูง
- กดปุ่ม
- หลุม
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- HTTPS
- ระบุ
- แยกแยะ
- ระบุ
- ส่งผลกระทบ
- การดำเนินการ
- การดำเนินงาน
- การดำเนินการ
- สำคัญ
- in
- ประกอบด้วย
- ข้อมูล
- โครงสร้างพื้นฐาน
- อินพุต
- แทน
- อินเตอร์เฟซ
- ภายใน
- รวมถึง
- ปัญหา
- IT
- กระโดด
- ทราบ
- ห้องปฏิบัติการ
- นำ
- ชั้น
- ชีวิต
- ดู
- ทำ
- การจัดการ
- ลักษณะ
- ด้วยมือ
- ความผิดพลาด
- บรรเทา
- ซึ่งบรรเทา
- ลดความเสี่ยง
- โหมด
- แบบ
- โมเดล
- การตรวจสอบ
- ข้อมูลเพิ่มเติม
- มากที่สุด
- การย้าย
- จำเป็นต้อง
- เชิงลบ
- ใหม่
- ONE
- ตรงข้าม
- organizacja
- องค์กร
- อื่นๆ
- บริษัทของเรา
- ทั้งหมด
- ของตนเอง
- คน
- ดำเนินการ
- ที่มีประสิทธิภาพ
- ระยะ
- ต้นสน
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- โผล่
- นโยบาย
- เป็นไปได้
- ที่มีศักยภาพ
- ปัญหา
- การแก้ปัญหา
- ปัญหาที่เกิดขึ้น
- ขั้นตอน
- กระบวนการ
- กระบวนการ
- การผลิต
- การเขียนโปรแกรม
- คุณภาพ
- คำถาม
- อย่างรวดเร็ว
- RE
- เหมือนจริง
- ความจริง
- เมื่อเร็ว ๆ นี้
- สม่ำเสมอ
- การเผยแพร่
- การตรวจสอบ
- ความเสี่ยง
- ความเสี่ยง
- วิ่ง
- ขนาด
- ปลอดภัย
- ความปลอดภัย
- ความเสี่ยงด้านความปลอดภัย
- ภัยคุกคามความปลอดภัย
- ชุด
- น่า
- ที่เรียบง่าย
- ซอฟต์แวร์
- นักพัฒนาซอฟต์แวร์
- การพัฒนาซอฟต์แวร์
- แก้
- การแก้
- บาง
- บางคน
- แหล่งที่มา
- โดยเฉพาะ
- ผู้มีส่วนได้เสีย
- มาตรฐาน
- มาตรฐาน
- เริ่มต้น
- เข้าพัก
- การผสาน
- ยังคง
- กลยุทธ์
- คล่องตัว
- อย่างเช่น
- ระบบ
- ระบบ
- คุย
- การพูดคุย
- ทีม
- ทีม
- วิชาการ
- การทดสอบ
- พื้นที่
- ของพวกเขา
- ตัวเอง
- ตามทฤษฎี
- สิ่ง
- อย่างถี่ถ้วน
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ภัยคุกคาม
- ตลอด
- เวลา
- ไปยัง
- เกินไป
- เครื่องมือ
- แบบดั้งเดิม
- การฝึกอบรม
- กับดัก
- เป็นปกติ
- เข้าใจ
- ใช้
- การตรวจสอบ
- รุ่น
- ช่องโหว่
- ความอ่อนแอ
- เว็บ
- โปรแกรมประยุกต์บนเว็บ
- อะไร
- ความหมายของ
- ที่
- ในขณะที่
- ภายใน
- แย่ที่สุด
- จะ
- คุณ
- ของคุณ
- ลมทะเล