Phát triển an toàn theo dõi nhanh bằng cách sử dụng mô hình hóa mối đe dọa Lite

Sự phát triển mới diễn ra mọi lúc tại các công ty phần mềm bận rộn. Nhưng sự phát triển an toàn có xảy ra không?

Một quy trình được gọi là lập mô hình mối đe dọa nhỏ (LTM) liên quan đến các bên liên quan trong quá trình phát triển an toàn, đảm bảo rằng bảo mật được tích hợp và không bị khóa. LTM là gì và nó khác với mô hình mối đe dọa truyền thống như thế nào?

Phương pháp tiếp cận mô hình hóa mối đe dọa Lite

LTM là một cách tiếp cận hợp lý để xác định, đánh giá và giảm thiểu các mối đe dọa và lỗ hổng bảo mật tiềm ẩn trong một hệ thống hoặc ứng dụng. Đó là một phiên bản đơn giản hóa của mô hình mối đe dọa truyền thống, thường bao gồm phân tích chi tiết và toàn diện hơn về các rủi ro bảo mật.

Với LTM, chúng tôi không cắm các ghim vào hệ thống hoặc ứng dụng theo cách thủ công để xem liệu nó có bị hỏng hay không, như chúng tôi đã làm với thử nghiệm bút. Thay vào đó, chúng tôi chọc “các lỗ hổng lý thuyết” trong ứng dụng, phát hiện ra các lỗ hổng và con đường tấn công có thể xảy ra.

Dưới đây là một số câu hỏi để xem xét hỏi:

• Ai sẽ muốn tấn công hệ thống của chúng tôi?
• Những thành phần nào của hệ thống có thể bị tấn công và bằng cách nào?
• Điều tồi tệ nhất có thể xảy ra nếu ai đó đột nhập là gì?
• Điều này sẽ có tác động tiêu cực gì đối với công ty của chúng tôi? Trên khách hàng của chúng tôi?

Khi nào các LTM được thực hiện? 

Tốt nhất là thực hiện LTM bất cứ khi nào một tính năng mới được phát hành, kiểm soát bảo mật được thay đổi hoặc bất kỳ thay đổi nào được thực hiện đối với kiến ​​trúc hoặc cơ sở hạ tầng hệ thống hiện có.

Lý tưởng nhất là các LTM được thực hiện sau khi giai đoạn thiết kế và trước thực hiện. Xét cho cùng, việc khắc phục một lỗ hổng trước khi nó được đưa vào sản xuất sẽ dễ dàng hơn nhiều. Để mở rộng quy mô LTM trong toàn tổ chức của bạn, hãy đảm bảo thiết lập các quy trình và tiêu chuẩn rõ ràng và nhất quán. Điều này có thể liên quan đến việc xác định một tập hợp phổ biến các loại mối đe dọa, xác định các nguồn phổ biến của các mối đe dọa và lỗ hổng, đồng thời phát triển các quy trình tiêu chuẩn để đánh giá và giảm thiểu rủi ro.

Cách thực hiện LTM tại tổ chức của bạn 

Để bắt đầu thực hiện các LTM trong tổ chức của riêng bạn, trước tiên hãy yêu cầu các nhóm bảo mật nội bộ dẫn dắt các cuộc hội thoại LTM của bạn. Khi các nhóm kỹ thuật của bạn quen thuộc hơn với quy trình, họ có thể bắt đầu thực hiện các mô hình mối đe dọa của riêng mình.

Để mở rộng quy mô LTM trong toàn tổ chức của bạn, hãy đảm bảo thiết lập các quy trình và tiêu chuẩn rõ ràng và nhất quán. Điều này có thể liên quan đến việc xác định một tập hợp phổ biến các loại mối đe dọa, xác định các nguồn phổ biến của các mối đe dọa và lỗ hổng, đồng thời phát triển các quy trình tiêu chuẩn để đánh giá và giảm thiểu rủi ro.

Những sai lầm LTM phổ biến cần tránh

Những người làm công tác bảo mật rất giỏi trong việc lập mô hình mối đe dọa: Họ thường mong đợi điều tồi tệ nhất và đủ trí tưởng tượng để nghĩ ra các trường hợp nguy hiểm. Nhưng những phẩm chất này cũng khiến họ rơi vào bẫy LTM, chẳng hạn như:

• Tập trung quá nhiều vào ngoại lệ. Điều này xảy ra trong một bài tập LTM khi trọng tâm của cuộc trò chuyện chuyển hướng khỏi các mối đe dọa thực tế nhất sang các yếu tố ngoại lai của nó. Để giải quyết vấn đề này, hãy đảm bảo hiểu thấu đáo về hệ sinh thái của bạn. Sử dụng thông tin từ thông tin bảo mật và quản lý sự kiện (SIEM) của bạn và các hệ thống giám sát bảo mật khác. Ví dụ: nếu bạn có 10,000 cuộc tấn công nhắm vào các điểm cuối giao diện lập trình ứng dụng (API) của mình, thì bạn biết đó là điều mà đối thủ của bạn đang tập trung vào. Đây cũng là điều mà LTM của bạn nên tập trung vào.
• Bắt đầu quá kỹ thuật. Thông thường, khi phát hiện ra một lỗ hổng lý thuyết, những người kỹ thuật sẽ chuyển sang “chế độ giải quyết vấn đề”. Cuối cùng, họ “giải quyết” vấn đề và nói về triển khai kỹ thuật thay vì nói về tác động của lỗ hổng đối với tổ chức. Nếu bạn thấy điều này đang xảy ra trong các bài tập LTM của mình, hãy cố gắng kéo cuộc trò chuyện trở lại: Nói với nhóm rằng bạn sẽ chưa nói về việc triển khai. Nói chuyện qua rủi ro và tác động đầu tiên.
• Giả sử các công cụ một mình xử lý rủi ro. Thông thường, các nhà phát triển mong đợi các công cụ của họ tìm ra tất cả các vấn đề. Xét cho cùng, thực tế là một mô hình mối đe dọa không nhằm mục đích tìm ra một lỗ hổng cụ thể. Thay vào đó, nó có nghĩa là xem xét rủi ro tổng thể của hệ thống, ở cấp độ kiến ​​trúc. Trên thực tế, thiết kế không an toàn là một trong những vấn đề gần đây nhất của OWASP 10 rủi ro bảo mật ứng dụng web hàng đầu. Bạn cần các mô hình mối đe dọa ở cấp độ kiến ​​trúc vì các vấn đề bảo mật kiến ​​trúc là khó khắc phục nhất.
• Nhìn ra các mối đe dọa và lỗ hổng tiềm ẩn. Mô hình mối đe dọa không phải là một bài tập một lần. Điều quan trọng là phải thường xuyên đánh giá lại các mối đe dọa và lỗ hổng tiềm ẩn để đi trước các hướng tấn công và tác nhân đe dọa luôn thay đổi.
• Không xem xét các chiến lược thực hiện cấp cao. Khi các mối đe dọa và lỗ hổng tiềm ẩn đã được xác định, điều quan trọng là phải triển khai các biện pháp đối phó hiệu quả để giảm thiểu hoặc loại bỏ chúng. Điều này có thể bao gồm việc triển khai các biện pháp kiểm soát kỹ thuật, chẳng hạn như xác thực đầu vào, kiểm soát truy cập hoặc mã hóa, cũng như các biện pháp kiểm soát phi kỹ thuật, chẳng hạn như đào tạo nhân viên hoặc chính sách hành chính.

Kết luận

LTM là một cách tiếp cận hợp lý để xác định, đánh giá và giảm thiểu các mối đe dọa và lỗ hổng bảo mật tiềm ẩn. Nó cực kỳ thân thiện với nhà phát triển và nó có mã an toàn di chuyển bằng làm mô hình mối đe dọa sớm trong vòng đời phát triển phần mềm (SDLC). Tốt hơn nữa, một LTM có thể được thực hiện bởi chính các nhà phát triển phần mềm và kiến ​​trúc sư, thay vì dựa vào các phòng thí nghiệm để chạy mô hình mối đe dọa.

Bằng cách phát triển và triển khai các LTM một cách nhất quán và hiệu quả, các tổ chức có thể xác định và giải quyết các rủi ro bảo mật quan trọng nhất một cách nhanh chóng và hiệu quả, đồng thời tránh được những cạm bẫy và sai lầm phổ biến.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/vulnerabilities-threats/fast-track-secure-development-using-lite-threat-modeling