Sự phát triển mới diễn ra mọi lúc tại các công ty phần mềm bận rộn. Nhưng sự phát triển an toàn có xảy ra không?
Một quy trình được gọi là lập mô hình mối đe dọa nhỏ (LTM) liên quan đến các bên liên quan trong quá trình phát triển an toàn, đảm bảo rằng bảo mật được tích hợp và không bị khóa. LTM là gì và nó khác với mô hình mối đe dọa truyền thống như thế nào?
Phương pháp tiếp cận mô hình hóa mối đe dọa Lite
LTM là một cách tiếp cận hợp lý để xác định, đánh giá và giảm thiểu các mối đe dọa và lỗ hổng bảo mật tiềm ẩn trong một hệ thống hoặc ứng dụng. Đó là một phiên bản đơn giản hóa của mô hình mối đe dọa truyền thống, thường bao gồm phân tích chi tiết và toàn diện hơn về các rủi ro bảo mật.
Với LTM, chúng tôi không cắm các ghim vào hệ thống hoặc ứng dụng theo cách thủ công để xem liệu nó có bị hỏng hay không, như chúng tôi đã làm với thử nghiệm bút. Thay vào đó, chúng tôi chọc “các lỗ hổng lý thuyết” trong ứng dụng, phát hiện ra các lỗ hổng và con đường tấn công có thể xảy ra.
Dưới đây là một số câu hỏi để xem xét hỏi:
- Ai sẽ muốn tấn công hệ thống của chúng tôi?
- Những thành phần nào của hệ thống có thể bị tấn công và bằng cách nào?
- Điều tồi tệ nhất có thể xảy ra nếu ai đó đột nhập là gì?
- Điều này sẽ có tác động tiêu cực gì đối với công ty của chúng tôi? Trên khách hàng của chúng tôi?
Khi nào các LTM được thực hiện?
Tốt nhất là thực hiện LTM bất cứ khi nào một tính năng mới được phát hành, kiểm soát bảo mật được thay đổi hoặc bất kỳ thay đổi nào được thực hiện đối với kiến trúc hoặc cơ sở hạ tầng hệ thống hiện có.
Lý tưởng nhất là các LTM được thực hiện sau khi giai đoạn thiết kế và trước thực hiện. Xét cho cùng, việc khắc phục một lỗ hổng trước khi nó được đưa vào sản xuất sẽ dễ dàng hơn nhiều. Để mở rộng quy mô LTM trong toàn tổ chức của bạn, hãy đảm bảo thiết lập các quy trình và tiêu chuẩn rõ ràng và nhất quán. Điều này có thể liên quan đến việc xác định một tập hợp phổ biến các loại mối đe dọa, xác định các nguồn phổ biến của các mối đe dọa và lỗ hổng, đồng thời phát triển các quy trình tiêu chuẩn để đánh giá và giảm thiểu rủi ro.
Cách thực hiện LTM tại tổ chức của bạn
Để bắt đầu thực hiện các LTM trong tổ chức của riêng bạn, trước tiên hãy yêu cầu các nhóm bảo mật nội bộ dẫn dắt các cuộc hội thoại LTM của bạn. Khi các nhóm kỹ thuật của bạn quen thuộc hơn với quy trình, họ có thể bắt đầu thực hiện các mô hình mối đe dọa của riêng mình.
Để mở rộng quy mô LTM trong toàn tổ chức của bạn, hãy đảm bảo thiết lập các quy trình và tiêu chuẩn rõ ràng và nhất quán. Điều này có thể liên quan đến việc xác định một tập hợp phổ biến các loại mối đe dọa, xác định các nguồn phổ biến của các mối đe dọa và lỗ hổng, đồng thời phát triển các quy trình tiêu chuẩn để đánh giá và giảm thiểu rủi ro.
Những sai lầm LTM phổ biến cần tránh
Những người làm công tác bảo mật rất giỏi trong việc lập mô hình mối đe dọa: Họ thường mong đợi điều tồi tệ nhất và đủ trí tưởng tượng để nghĩ ra các trường hợp nguy hiểm. Nhưng những phẩm chất này cũng khiến họ rơi vào bẫy LTM, chẳng hạn như:
- Tập trung quá nhiều vào ngoại lệ. Điều này xảy ra trong một bài tập LTM khi trọng tâm của cuộc trò chuyện chuyển hướng khỏi các mối đe dọa thực tế nhất sang các yếu tố ngoại lai của nó. Để giải quyết vấn đề này, hãy đảm bảo hiểu thấu đáo về hệ sinh thái của bạn. Sử dụng thông tin từ thông tin bảo mật và quản lý sự kiện (SIEM) của bạn và các hệ thống giám sát bảo mật khác. Ví dụ: nếu bạn có 10,000 cuộc tấn công nhắm vào các điểm cuối giao diện lập trình ứng dụng (API) của mình, thì bạn biết đó là điều mà đối thủ của bạn đang tập trung vào. Đây cũng là điều mà LTM của bạn nên tập trung vào.
- Bắt đầu quá kỹ thuật. Thông thường, khi phát hiện ra một lỗ hổng lý thuyết, những người kỹ thuật sẽ chuyển sang “chế độ giải quyết vấn đề”. Cuối cùng, họ “giải quyết” vấn đề và nói về triển khai kỹ thuật thay vì nói về tác động của lỗ hổng đối với tổ chức. Nếu bạn thấy điều này đang xảy ra trong các bài tập LTM của mình, hãy cố gắng kéo cuộc trò chuyện trở lại: Nói với nhóm rằng bạn sẽ chưa nói về việc triển khai. Nói chuyện qua rủi ro và tác động đầu tiên.
- Giả sử các công cụ một mình xử lý rủi ro. Thông thường, các nhà phát triển mong đợi các công cụ của họ tìm ra tất cả các vấn đề. Xét cho cùng, thực tế là một mô hình mối đe dọa không nhằm mục đích tìm ra một lỗ hổng cụ thể. Thay vào đó, nó có nghĩa là xem xét rủi ro tổng thể của hệ thống, ở cấp độ kiến trúc. Trên thực tế, thiết kế không an toàn là một trong những vấn đề gần đây nhất của OWASP 10 rủi ro bảo mật ứng dụng web hàng đầu. Bạn cần các mô hình mối đe dọa ở cấp độ kiến trúc vì các vấn đề bảo mật kiến trúc là khó khắc phục nhất.
- Nhìn ra các mối đe dọa và lỗ hổng tiềm ẩn. Mô hình mối đe dọa không phải là một bài tập một lần. Điều quan trọng là phải thường xuyên đánh giá lại các mối đe dọa và lỗ hổng tiềm ẩn để đi trước các hướng tấn công và tác nhân đe dọa luôn thay đổi.
- Không xem xét các chiến lược thực hiện cấp cao. Khi các mối đe dọa và lỗ hổng tiềm ẩn đã được xác định, điều quan trọng là phải triển khai các biện pháp đối phó hiệu quả để giảm thiểu hoặc loại bỏ chúng. Điều này có thể bao gồm việc triển khai các biện pháp kiểm soát kỹ thuật, chẳng hạn như xác thực đầu vào, kiểm soát truy cập hoặc mã hóa, cũng như các biện pháp kiểm soát phi kỹ thuật, chẳng hạn như đào tạo nhân viên hoặc chính sách hành chính.
Kết luận
LTM là một cách tiếp cận hợp lý để xác định, đánh giá và giảm thiểu các mối đe dọa và lỗ hổng bảo mật tiềm ẩn. Nó cực kỳ thân thiện với nhà phát triển và nó có mã an toàn di chuyển bằng làm mô hình mối đe dọa sớm trong vòng đời phát triển phần mềm (SDLC). Tốt hơn nữa, một LTM có thể được thực hiện bởi chính các nhà phát triển phần mềm và kiến trúc sư, thay vì dựa vào các phòng thí nghiệm để chạy mô hình mối đe dọa.
Bằng cách phát triển và triển khai các LTM một cách nhất quán và hiệu quả, các tổ chức có thể xác định và giải quyết các rủi ro bảo mật quan trọng nhất một cách nhanh chóng và hiệu quả, đồng thời tránh được những cạm bẫy và sai lầm phổ biến.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/vulnerabilities-threats/fast-track-secure-development-using-lite-threat-modeling
- 000
- 10
- 7
- a
- Giới thiệu
- truy cập
- ngang qua
- địa chỉ
- hành chính
- Sau
- trước
- Tất cả
- cô đơn
- phân tích
- và
- api
- ứng dụng
- Các Ứng Dụng
- bảo mật ứng dụng
- phương pháp tiếp cận
- kiến trúc
- kiến trúc
- tấn công
- Các cuộc tấn công
- tránh
- trở lại
- bởi vì
- trước
- BEST
- Hơn
- nghỉ giải lao
- Broke
- gọi là
- trường hợp
- đố
- Những thay đổi
- trong sáng
- mã
- Chung
- Các công ty
- công ty
- các thành phần
- toàn diện
- Hãy xem xét
- thích hợp
- điều khiển
- điều khiển
- Conversation
- cuộc hội thoại
- có thể
- quan trọng
- khách hàng
- xác định
- Thiết kế
- chi tiết
- phát triển
- phát triển
- Phát triển
- khác nhau
- khó khăn
- phát hiện
- suốt trong
- dễ dàng hơn
- hệ sinh thái
- Cạnh
- Hiệu quả
- hiệu quả
- loại bỏ
- Công nhân
- mã hóa
- Kỹ Sư
- đủ
- đảm bảo
- thành lập
- Sự kiện
- luôn thay đổi
- ví dụ
- Tập thể dục
- hiện tại
- mong đợi
- cực kỳ
- Rơi
- quen
- Đặc tính
- Tìm kiếm
- Tên
- Sửa chữa
- Tập trung
- tập trung
- từ
- được
- đi
- tuyệt vời
- xử lý
- xảy ra
- xảy ra
- cấp độ cao
- đánh
- Holes
- Độ đáng tin của
- HTTPS
- xác định
- xác định
- xác định
- Va chạm
- thực hiện
- thực hiện
- thực hiện
- quan trọng
- in
- bao gồm
- thông tin
- Cơ sở hạ tầng
- đầu vào
- thay vì
- Giao thức
- nội bộ
- liên quan
- các vấn đề
- IT
- nhảy
- Biết
- Phòng thí nghiệm
- dẫn
- Cấp
- Cuộc sống
- Xem
- thực hiện
- quản lý
- cách thức
- thủ công
- sai lầm
- Giảm nhẹ
- giảm nhẹ
- giảm thiểu rủi ro
- Chế độ
- kiểu mẫu
- mô hình
- giám sát
- chi tiết
- hầu hết
- di chuyển
- Cần
- tiêu cực
- Mới
- ONE
- phản đối
- cơ quan
- tổ chức
- Nền tảng khác
- Về chúng tôi
- tổng thể
- riêng
- người
- Thực hiện
- biểu diễn
- giai đoạn
- chân
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Xô
- Chính sách
- có thể
- tiềm năng
- Vấn đề
- giải quyết vấn đề
- vấn đề
- thủ tục
- quá trình
- Quy trình
- Sản lượng
- Lập trình
- chất lượng
- Câu hỏi
- Mau
- RE
- thực tế
- Thực tế
- gần đây
- thường xuyên
- phát hành
- xem xét
- Nguy cơ
- rủi ro
- chạy
- Quy mô
- an toàn
- an ninh
- Rủi ro bảo mật
- Các mối đe dọa an ninh
- định
- nên
- đơn giản hóa
- Phần mềm
- Nhà phát triển phần mềm
- phát triển phần mềm
- động SOLVE
- Giải quyết
- một số
- Một người nào đó
- nguồn
- riêng
- các bên liên quan
- Tiêu chuẩn
- tiêu chuẩn
- Bắt đầu
- ở lại
- dính
- Vẫn còn
- chiến lược
- sắp xếp hợp lý
- như vậy
- hệ thống
- hệ thống
- Thảo luận
- nói
- nhóm
- đội
- Kỹ thuật
- Kiểm tra
- Sản phẩm
- cung cấp their dịch
- tự
- lý thuyết
- điều
- triệt để
- mối đe dọa
- diễn viên đe dọa
- các mối đe dọa
- Thông qua
- thời gian
- đến
- quá
- công cụ
- truyền thống
- Hội thảo
- bẫy
- thường
- hiểu
- sử dụng
- xác nhận
- phiên bản
- Lỗ hổng
- dễ bị tổn thương
- web
- Ứng dụng web
- Điều gì
- Là gì
- cái nào
- trong khi
- ở trong
- tệ nhất
- sẽ
- Bạn
- trên màn hình
- zephyrnet