Читайте также:
|
Начало. Большинство инициатив по моделированию угроз, возникавших в Microsoft и в других компаниях, были основаны, включая ранние процедуры SDL, на проведении ”мозговых штурмов” или использовании других неформальных подходов к перечислению вариантов. Мозговые штурмы могут быть полезны при участии в них экспертов, но даже в этом случае сохраняются проблемы полноты и повторяемости. Мы осознали необходимость в создании инструмента, позволяющего получать более строгие и понятные рекомендации. Метод, который мы используем сегодня, берет свое начало из неопубликованного анализа CVE и MSRC, проведенного Шоном Хёнаном (Shawn Hernan) и Майклом Ховардом (Michael Howard).
Современная методология. В нашей сегодняшней методологии используются диаграммы, построенные по методике, которую мы называем «угрозы STRIDE на элемент» (STRIDE – Spoofing of user identity (подмена идентификатора пользователя), Tampering (вмешательство), Repudiation (Отказ), Information disclosure (Разглашение данных), Denial of Service (Отказ в обслуживании), Elevation of privilege (Повышение привилегий) – система классификации угроз), позволяющей получать инструкции для неэкспертов и достигать высокой повторяемости. Эта методика основывается на следующем наблюдении: угрозы программному обеспечению, которыми мы занимаемся, можно объединить в кластеры. Принцип методики базируется на том, что каждому типу DFD-элементов соответствуют определенные классы угрозы (см. таблицу 2).
| Подмена | Несанкционированный доступ к компьютеру | Отказ от факта получения или отправки сообщения | Раскрытие информации | Отказ в обслуживании | Повышение привилегий | |
| Внешний элемент | x | x | ||||
| Процесс | x | x | x | x | x | x |
| Хранилище данных | x | ? | x | x | ||
| Поток данных | x | x | x |
Таблица 2. Распределение «угрозы STRIDE на элемент»
Что касается хранилищ данных (то есть журналов), мы еще занимаемся изучением проблем отказов от сообщений и атак на хранилища данных с целью удаления журналов. В существующих на данный момент инструментах мы используем набор вопросов для конкретизации и разъяснения этих угроз.
Анализ. Я не претендую на универсальность описанного метода перечисления. Он ориентирован на те проблемы, которыми занимаются в Microsoft; другие организации могут расширить или заменить его. Например, «разглашение информации внешним объектом», казалось бы, хорошо подходит для описания определенного подмножества угроз конфиденциальности. Однако другие компании, специализирующиеся на приложениях Web 2.0, могут заменить список угроз своим, составленным в соответствии с их окружением.
В наших современных инструментах мы размещаем руководство по тому, как каждая из перечисленных угроз проявляется по отношению к элементам различных типов. Очевидно, что необходима разработка более подробного руководства. Например, возможности и методы борьбы с несанкционированным доступом к компьютерам сильно различаются при работе с HTTP GET-запросами, локальными вызовами процедур Windows LPC и Unix-каналами.
Дата добавления: 2015-11-14; просмотров: 64 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Построение диаграмм | | | Моделирование угроз как tabula rasa |