金凤区建设交通局网站,房地产开发公司名字大全,电商网站的对比,邢台精品网站建设目录
背景
TM(ThreatModeling)
实践
具体流程
资料获取方法 背景
目前安全测试一般都存在如下问题#xff1a;
安全测试人员不懂业务#xff0c;业务测试人员不懂安全#xff0c;安全测试设计出现遗漏是无法避免的安全测试点繁多复杂#xff0c;单点分析会导致风险暴…目录
背景
TM(ThreatModeling)
实践
具体流程
资料获取方法 背景
目前安全测试一般都存在如下问题
安全测试人员不懂业务业务测试人员不懂安全安全测试设计出现遗漏是无法避免的安全测试点繁多复杂单点分析会导致风险暴露不安全
目前的状态
TR2阶段测试人员根据开发人员提供的story威胁分析设计文档检查已有的削减措施是否正常实现检查建议的削减措施是否合理待版本转测试后对削减措施进行多角度测试确保削减措施被正确实施并真正削减产品分析出的威胁。
基于以上两点需要一套完整的连贯的方法指导安全及业务特性的安全测试设计TMThreatModeling威胁建模安全测试设计方法应运而生。 TM(ThreatModeling)
威胁建模的本质尽管通常我们无法证明给定的设计是安全的但我们可以从自己的错误中汲取教训并避免犯同样的错误。
TM主要的理论、实践来源是微软的STRIDE威胁建模方法论它从6个维度来考察系统设计时存在的来自外部威胁的风险点。
首先需要知道什么样的设计是“安全的”安全设计原则
设计安全原则开放设计假设攻击者具有源代码和规格。故障安全预设值出故障时自动关闭无单点故障。最低权限只分配所需的权限。机制经济性保持简单、易懂的特性。分离权限不允许根据单一条件执行操作。总体调节每次检查所有内容。最低公用机制注意保护共享资源。心理可接受性他们将使用它吗
更进一步设计完的系统应具有哪些安全相关的属性
安全属性详细机密性数据只应限具有权限的人员访问。完整性数据和系统资源只限适当的人员以适当的方式进行更改。可用性系统在需要时一切就绪可以正常操作。身份验证建立用户身份或者接受匿名用户。授权明确允许或拒绝用户访问资源。认可用户无法在执行某操作后否认执行了此操作。
STRIDE是这6个维度的单词的首字母的缩写这6个维度分别为
Spoofing假冒Tampering篡改Repudiation否认Information Disclosure信息泄漏Denial of Service拒绝服务Elevation of Privilege权限提升。
下图对这六项信息各自进行了距离
属性威胁定义例子认证Spoofing假冒冒充某人或某物假冒billg、microsoft.com或ntdll.dll完整性Tampering篡改修改数据和代码修改一个DLL或一个局域网的封包不可抵赖性Repudiation否认宣称未做过某个行为“我没有发送email” “我没有修改文件” “我肯定没有访问那个网站”机密性Information Disclosure信息泄露暴露信息给未经授权的访问者允许某人阅读Windows源代码将客户列表发布在网站上可用性Denial of Service拒绝服务使对服务对用户拒绝访问或降级发送数据包使目标系统CPU满负荷或发送恶意代码使目标服务崩溃授权Elevation of Privlege权限提升未经授权获取权限远程用户执行任意代码普通用户可以执行管理员私有的系统指令 实践
很多安全从业者所接受的安全认知往往是进入一家企业后拿到一份名为应用开发安全标准的文档里面描述了访问控制、输入验证、编码过滤、认证鉴权、加密、日志等各种要求久而久之就变成了一种惯性思维实际上之所以要这么做是因为在系统设计的某个环节存在STRIDE中的一种或几种风险所以在那个设计关注点上要加入对应的安全措施并不是在所有的地方都要套用全部的或千篇一律的安全措施。否则就会变成另外一种结果“过度的安全设计”。
威胁建模的成果跟工作者自身的知识也有很大的关系有攻防经验的人比较容易判断威胁的来源和利用场景如果缺少这方面的认知可能会发现到处是风险有些风险的利用场景很少或利用条件非常苛刻如果一味地强调风险削减措施也会变成有点纸上谈兵的味道虽然从安全的角度没有错但从产品交付的整体视角看安全还是做过头了。
具体流程
STIRDE如何使用首先我们需要画出数据流关系图DFD以图形的方式表示系统。数据流关系图由数据流、数据存储、进程和交互方四个元素标准符号组成。 数据流表示通过网络连接、命名管道、消息队列、RPC 通道等移动的数据。数据存储表示文本、文件、关系型数据库、非结构化数据等。进程指的是计算机运行的计算或程序。 然后我们根据实际情况另外增加了一个元素即信任边界。
添加信任边界后对每一个节点元素和过程进行分析判断是否存在上述6种威胁并制定对应的风险缓解措施。
总体上看STRIDE是一个不错的参考视角即便有丰富攻防经验的人也不能保证自己在面对复杂系统的安全设计时考虑是全面的而STRIDE则有助于风险识别的覆盖面。 资料获取方法
【留言777】 各位想获取源码等教程资料的朋友请点赞 评论 收藏三连
三连之后我会在评论区挨个私信发给你们~
