مدل سازی تهدید

معرفی

مدل سازی تهدید یک رویکرد برای تجزیه و تحلیل امنیت یک نرم افزار است. این یک رویکرد ساختار یافته است که شما را قادر به شناسایی، تعیین کمیت، و پرداختن به خطرات امنیتی مرتبط با یک برنامه است. مدل سازی تهدید است رویکرد به بررسی کد نیست، اما آن را تکمیل فرایند بررسی کد امنیتی. گنجاندن مدل سازی تهدید در SDLC می تواند کمک به اطمینان حاصل شود که برنامه های کاربردی هستند که با امنیت ساخته شده در از همان ابتدا توسعه یافته است. این، همراه با اسناد و مدارک تولید به عنوان بخشی از فرایند مدل سازی تهدید، می توانید بررسی درک بیشتری از سیستم می دهد. این اجازه می دهد تا بررسی برای دیدن جایی که نقاط ورود به نرم افزار می باشد و تهدیدات مرتبط با هر نقطه ورود. مفهوم مدل سازی تهدید است که جدید نیست اما تا به تغییر طرز فکر روشن در سال های اخیر وجود دارد. مدل سازی تهدید مدرن به نظر می رسد در یک سیستم از دیدگاه یک مهاجم بالقوه، به عنوان به نظر مدافع مخالف است. مایکروسافت مدافعان قوی از روند بیش از تعداد سال گذشته بوده است. آنها تهدید مدل سازی یک جزء اصلی از SDLC خود را، که آنها ادعا می کنند یکی از دلایل برای امنیت محصولات خود را افزایش در سال های اخیر ساخته شده اند.

هنگامی که تجزیه و تحلیل کد منبع در خارج از SDLC، از جمله در برنامه های موجود انجام، نتایج حاصل از تهدید مدل سازی به کمک در کاهش پیچیدگی تجزیه و تحلیل کد منبع با ترویج یک روش اول در عمق در مقابل وسعت روش اول. به جای مرور کد منبع با تمرکز برابر، شما می توانید بررسی کد امنیتی که از اجزای مدل سازی تهدید با تهدید در معرض خطر قرار گرفت اولویت قرار دهد.

فرآیند مدل سازی تهدید را می توان به 3 مرحله سطح بالا تجزیه می شود:

مرحله 1: تجزیه نرم افزار. اولین گام در فرایند مدل سازی تهدید با به دست آوردن درک درستی از نرم افزار و چگونه آن را با موجودیتهای خارجی تعامل نگران است. این شامل ایجاد استفاده از موارد به درک که چگونه نرم افزار استفاده می شود، شناسایی نقاط ورود به ببینید که در آن یک مهاجم بالقوه تواند با نرم افزار ارتباط برقرار، شناسایی دارایی یعنی اقلام / مناطق که مهاجم خواهد بود علاقه مند، و شناسایی سطوح اعتماد که نشان دهنده حقوق دسترسی که کاربرد آن به اشخاص خارجی عطا کند. این اطلاعات در سند مدل تهدید مستند و آن را نیز به تولید نمودار جریان داده (DFDS) برای نرم افزار استفاده می شود. DFDS نشان دادن مسیرهای مختلف از طریق سیستم، برجسته مرزهای امتیاز است.

گام 2: تعیین و رتبه بندی تهدیدات. انتقادی به شناسایی تهدیدات با استفاده از یک روش طبقه بندی تهدید. طبقه بندی خطر مانند STRIDE می تواند استفاده شود، یا قاب برنامه امنیتی (ASF) که دسته خطر مانند حسابرسی و جنگلداری، تأیید هویت، اختیار، مدیریت پیکربندی، حفاظت از داده ها برای ذخیره سازی و حمل و نقل، اعتبار سنجی داده ها، مدیریت استثنا تعریف می کند. هدف از طبقه بندی تهدید است برای کمک به شناسایی تهدیدات از مهاجم (STRIDE) و دیدگاه های دفاعی (ASF). DFDS تولید شده در مرحله 1 کمک به شناسایی اهداف تهدید بالقوه از دیدگاه مهاجم، مانند منابع داده ها، فرایندهای، جریان داده، و تعامل با کاربران است. این تهدیدات می تواند بیشتر به عنوان ریشه برای درختان تهدید شناسایی شده؛ است یک درخت برای هر هدف تهدید وجود دارد. از منظر دفاعی، طبقه بندی ASF کمک می کند تا برای شناسایی تهدیدات به عنوان نقاط ضعف کنترل های امنیتی برای چنین تهدید. مشترک تهدید لیست با نمونه می توانید در شناسایی چنین تهدید کمک کند. استفاده و سوء استفاده می نشان دادن چگونگی اقدامات حفاظتی موجود را می توان دور زد، یا که در آن یک فقدان چنین محافظتی وجود ندارد. تعیین خطر امنیتی برای هر تهدید می توان با استفاده از مدل خطر مبتنی بر ارزش مانند DREAD و یا یک مدل ریسک کیفی کم و بر اساس عوامل خطر عمومی (مثل احتمال و تاثیر) تعیین می شود.

مرحله 3: تعیین اقدامات متقابل و کاهش. عدم محافظت در برابر یک تهدید ممکن است یک آسیب پذیری که قرار گرفتن در معرض خطر می تواند با اجرای اقدام متقابل کاهش نشان می دهد. چنین اقدامات متقابل می توان با استفاده از لیست نقشه برداری تهدید متقابل شناخته شده است. هنگامی که یک رتبه بندی خطر به تهدیدات اختصاص داده، آن ممکن است برای مرتب تهدید از بالاترین به پایین ترین خطر، و اولویت بندی تلاش کاهش، مانند با پاسخ به چنین تهدید با استفاده از اقدامات متقابل شناخته شده است. استراتژی کاهش ریسک ممکن است شامل ارزیابی این تهدید از تاثیر کسب و کار که آنها را مطرح و کاهش خطر. گزینه های دیگر ممکن است شامل در نظر گرفتن خطر، با فرض تاثیر کسب و کار به دلیل کنترل جبران قابل قبول است، اطلاع رسانی به کاربر از تهدید، از بین بردن خطر ناشی از تهدید به طور کامل، و یا حداقل گزینه ارجح است، که، به انجام هیچ چیز.

هر یک از مراحل فوق مستند به عنوان آنها انجام می شود. سند به دست آمده از مدل تهدیدی برای نرم افزار است. این راهنما به یک مثال برای کمک به توضیح مفاهیم پشت مدل سازی تهدید استفاده میکنند. همان مثال خواهد شد در سراسر هر یک از 3 مرحله به عنوان کمک آموزش استفاده می شود. به عنوان مثال که استفاده می شود وب سایت کتابخانه دانشگاه است. در پایان راهنمای ما خواهد شد که مدل تهدید برای وب سایت کتابخانه کالج. هر یک از مراحل در فرایند مدل سازی تهدید در جزئیات شرح زیر است.

هدف از این مرحله این است که برای به دست آوردن درک درستی از نرم افزار و چگونه آن را با موجودیتهای خارجی در تعامل است. این هدف با جمع آوری اطلاعات و اسناد به دست آورد. فرایند جمع آوری اطلاعات با استفاده از یک ساختار به وضوح تعریف شده، که تضمین اطلاعات صحیح جمع آوری شده است انجام شده است. این ساختار نیز تعریف چگونه اطلاعات باید مستند به تولید مدل تهدید است.

اولین مورد در مدل تهدید اطلاعات مربوط به مدل تهدید است. این باید شامل موارد زیر باشد:

1.       نام نرم افزار - نام نرم افزار است.

2.       نسخه نرم افزار - نسخه از نرم افزار.

3.       توضیحات - شرح سطح بالا از برنامه.

4.       سند مالک - صاحب سند مدل سازی تهدید.

5.       شرکت کنندگان - شرکت کنندگان درگیر در فرایند مدل سازی تهدید برای این برنامه.

6.       داور - داور (بازدید کنندگان) این مدل را تهدید کند. 

مثال: 

 

وابستگی خارجی آیتم های خارجی به کد برنامه ای که ممکن است یک تهدید به نرم افزار مطرح می باشد. این آیتم ها به طور معمول هنوز در کنترل سازمان هستند، اما در کنترل تیم توسعه احتمالا نمی کند. منطقه اول، به هنگام بررسی وابستگی خارجی این است که چگونه نرم افزار خواهد شد در یک محیط تولید مستقر نگاه کنید، و الزامات اطراف این چه هستند. این شامل دنبال چگونه از نرم افزار است و یا در نظر گرفته شده برای اجرا می شود. به عنوان مثال اگر برنامه انتظار می رود در سرور است که به استاندارد سخت شدن سازمان سخت اجرا می شود و انتظار می رود به پشت یک دیوار آتش، و سپس این اطلاعات باید در بخش وابستگی خارجی مستند نشستن. وابستگی خارجی باید به شرح زیر مستند:

1.       ID - ID منحصر به فرد اختصاص داده شده به وابستگی خارجی.

2.       توضیحات - شرح متنی از وابستگی خارجی.

مثال: 

 

نقاط ورود رابط که از طریق آن می توانید مهاجمان احتمالی با نرم افزار ارتباط برقرار و یا عرضه آن را با داده را تعریف کنیم. برای این که یک مهاجم بالقوه برای حمله به یک برنامه، نقاط ورود باید وجود داشته باشد. نقاط ورود در یک برنامه را می توان لایه، برای مثال هر صفحه وب در یک برنامه تحت وب ممکن است نقاط ورود متعدد باشد. نقاط ورود باید به شرح زیر مستند:

1.       ID - ID منحصر به فرد اختصاص داده شده به نقطه ورود. این استفاده می شود برای مرجع صلیب نقطه ورود با هر گونه تهدید و یا آسیب پذیری که شناسایی شده اند. در مورد نقاط ورود لایه، یک نماد major.minor باید استفاده شود.

2.       نام - یک نام توصیفی شناسایی نقطه ورود و هدف آن است.

3.       توضیحات - شرح متنی جزئیات تعامل و یا پردازش که در نقطه ورود رخ می دهد.

4.       سطوح اعتماد - سطح دسترسی مورد نیاز در نقطه ورود است در اینجا مستند شده است. این خواهد شد متقاطع با سطوح تراست بعد در سند تعریف اشاره شده است.

مثال: 

 

سیستم باید چیزی است که مهاجم علاقه مند است دارند. این آیتم ها / زمینه های مورد علاقه به عنوان دارایی تعریف شده است. دارایی اساسا اهداف تهدید، یعنی آنها دلیل تهدیدات وجود دارند خواهد شد. دارایی می تواند هر دو دارایی های فیزیکی و دارایی های انتزاعی. به عنوان مثال، یک دارایی از یک نرم افزار ممکن است یک لیست از مشتریان و اطلاعات شخصی خود را؛ این یک دارایی فیزیکی است. یک دارایی انتزاعی ممکن است شهرت یک سازمان است. دارایی در مدل تهدید به شرح زیر مستند:

1.       ID - ID منحصر به فرد اختصاص داده شده است برای شناسایی هر دارایی. این استفاده می شود برای عبور مرجع دارایی با هر گونه تهدید و یا آسیب پذیری که شناسایی شده اند.

2.       نام - یک نام توصیفی که به وضوح شناسایی دارایی.

3.       توضیحات - شرح متنی از آنچه دارایی است و به همین دلیل به آن نیاز دارد به آن محافظت شود.

4.       سطوح اعتماد - سطح دسترسی مورد نیاز برای دسترسی به نقطه ورود اینجا مستند شده است. این خواهد شد متقاطع با سطح اعتماد تعریف شده در گام بعدی اشاره شده است.

مثال: 

 

سطح اعتماد نشان دهنده حقوق دسترسی که کاربرد آن به اشخاص خارجی عطا کند. سطح اعتماد متقابل با نقاط ورود و دارایی های اشاره شده است. این به ما اجازه به تعریف حقوق دسترسی و امتیازات مورد نیاز در هر نقطه ورود، و کسانی که نیاز برای تعامل با هر یک از دارایی. سطح اعتماد در مدل تهدید به شرح زیر مستند:

1.       ID - شماره منحصر به هر سطح اعتماد اختصاص داده است. این استفاده می شود مرجع صلیب سطح اعتماد با نقاط ورود و دارایی.

2.       نام - یک نام توصیفی که اجازه می دهد تا شما را به شناسایی موجودیتهای خارجی که این سطح اعتماد اعطا شده است.

3.       توضیحات - شرح متنی از سطح اعتماد جزئیات موجودیت خارجی است که سطح اعتماد اعطا شده است.

مثال: 

 

همه از اطلاعات جمع آوری اجازه می دهد تا ما را به دقت مدل برنامه را از طریق استفاده از دیاگرام های جریان داده (DFDS). DFDS ما اجازه خواهد داد برای به دست آوردن درک بهتر از نرم افزار با ارائه یک نمایش تصویری از چگونه داده فرآیندهای نرم افزار. تمرکز از DFDS در مورد چگونه داده ها از طریق برنامه حرکت است و چه اتفاقی می افتد به عنوان داده های آن حرکت می کند. DFDS سلسله مراتبی در ساختار، به طوری که آنها می تواند مورد استفاده برای تجزیه نرم افزار به زیر سیستم ها و زیر سیستم های سطح پایین تر. سطح بالای DFD ما اجازه خواهد داد برای روشن از محدوده برنامه های مدل سازی. تکرار سطح پایین تر به ما اجازه خواهد بر روی فرآیندهای خاص درگیر هنگام پردازش داده خاص تمرکز. تعدادی از نمادها که در DFDS برای مدل سازی تهدید استفاده می شود. این شرح است:

خارجی نهاد 
شکل نهاد خارجی استفاده می شود برای نشان دادن هر نهاد در خارج از برنامه ای که با برنامه از طریق یک نقطه ورود در تعامل است. 

 

فرآیند 
شکل روند نشان دهنده یک کار است که داده های دسته داخل نرم افزار. این کار ممکن است داده ها را پردازش یا انجام عمل بر اساس داده. 

 

فرآیند های متعدد 
شکل فرآیند های متعدد است برای ارائه مجموعه ای از میابند استفاده می شود. روند های مختلف را می توان به میابند خود را در یکی دیگر از DFD شکسته. 

 

فروشگاه داده 
شکل ذخیره داده استفاده می شود برای نشان مکان که در آن داده های ذخیره شده است. فروشگاه های داده انجام داده را تغییر دهید، آنها تنها اطلاعات ذخیره کنند. 

 

گردش داده ها 
شکل جریان داده ها نشان دهنده حرکت داده ها در نرم افزار. جهت حرکت داده شده است توسط فلش ​​نشان داده است. 

 

امتیاز مرز 
شکل مرز امتیاز استفاده شده است به نمایندگی از تغییر سطح امتیاز به عنوان جریان داده از طریق نرم افزار. 

 

 

مثال

داده نمودار جریان برای وب سایت کتابخانه کالج 

 

ورود کاربر داده نمودار جریان برای وب سایت کتابخانه کالج 

 

دسته بندی تهدید

اولین گام در تعیین تهدید است اتخاذ یک طبقه بندی تهدید. طبقه بندی تهدید مجموعه ای از دسته تهدید با نمونه مربوطه به طوری که تهدیدات را می توان به طور سیستماتیک در نرم افزار به شیوه ای سازمان یافته و تکرار مشخص را فراهم می کند.

STRIDE

طبقه بندی خطر مانند STRIDE در شناسایی تهدیدات مفید است با طبقه بندی اهداف مهاجم مانند:

·         حقه بازی

·         دستکاری

·         انکار

·         افشای اطلاعات

·         خود داری از خدمات

·         ارتفاع از امتیاز.

لیست تهدید تهدید عمومی سازمان در این دسته بندی ها با مثال ها و کنترل های امنیتی آسیب دیده است که در جدول زیر ارائه شده:

 

 

هنگامی که عوامل خطر عمومی و اثرات کسب و کار درک، تیم بررسی باید سعی کنید به شناسایی مجموعه ای از کنترل است که می تواند این عوامل تهدید از آن باعث اثرات جلوگیری می کند. تمرکز اصلی بررسی کد باید به اطمینان حاصل شود که این کنترل های امنیتی در محل هستند، که آنها به درستی کار، و که آنها به درستی در تمام نقاط لازم استناد شده است. چک لیست زیر می تواند کمک به اطمینان حاصل شود که تمام خطرات احتمال در نظر گرفته شده است.

احراز هویت:

·         اطمینان از تمام اتصالات داخلی و خارجی (برای کاربران و نهاد) را از طریق فرم مناسب و کافی از احراز هویت است. مطمئن باشید که این کنترل قابل رد شدن نیست.

·         اطمینان از تمام صفحات اعمال مورد نیاز برای احراز هویت.

·         اطمینان حاصل شود که هر زمان که اعتبارنامه احراز هویت و یا هر گونه اطلاعات حساس دیگر منتقل شده است، تنها اطلاعاتی که از طریق HTTP روش 'POST' قبول و آن را از طریق HTTP روش 'GET' قبول نمی کند.

·         هر صفحه را با کسب و کار و یا تیم توسعه به عنوان خارج از محدوده احراز هویت تلقی می شود که به منظور بررسی احتمال نقض امنیتی بررسی می شود.

·         اطمینان حاصل شود که اعتبارنامه احراز هویت آیا سیم به صورت متن روشن گذشتن است.

·         اطمینان از توسعه / اشکال زدایی درب پشتی در حال حاضر در کد تولید نیست.

مجوز:

·         اطمینان حاصل شود که مکانیسم مجوز در محل وجود دارد.

·         اطمینان حاصل شود که برنامه به وضوح انواع کاربر و حقوق گفت: کاربران تعریف شده است.

·         اطمینان است موضع حداقل امتیاز در عمل وجود دارد.

·         اطمینان حاصل شود که مکانیسم مجوز به درستی کار، شکست و ایمن، و نمی تواند دور شود.

·         اطمینان حاصل شود که مجوز در هر درخواست بررسی می شود.

·         اطمینان از توسعه / اشکال زدایی درب پشتی در حال حاضر در کد تولید نیست.

مدیریت کوکی:

·         اطمینان حاصل شود که اطلاعات حساس تشکیل شده است نمی باشد.

·         اطمینان حاصل شود که فعالیت های غیر مجاز می تواند از طریق دستکاری کوکی را ندارد.

·         اطمینان حاصل شود که کد گذاری مناسب در حال استفاده است.

·         اطمینان از پرچم امن قرار است برای جلوگیری از انتقال تصادفی بیش از 'سیم' به شیوه ای غیر امن.

·         تعیین اگر همه انتقال دولت در کد برنامه به درستی برای کوکی ها را بررسی و اجرای استفاده از آنها.

·         اطمینان از جلسه داده است که تایید شده است.

·         اطمینان از کوکی ها حاوی اطلاعات خصوصی را به عنوان کوچک که ممکن است.

·         اطمینان از تمام کوکی رمزگذاری شده است اگر اطلاعات حساس را در کوکی همچنان ادامه داشت.

·         تعریف تمام کوکی ها توسط نرم افزار، نام خود را استفاده می شود، و به همین دلیل آنها مورد نیاز است.

داده ها اعتبار / ورودی:

·         اطمینان حاصل شود که یک مکانیسم DV موجود است.

·         اطمینان از تمام ورودی است که می تواند (و) که توسط یک کاربر مخرب مانند هدرهای HTTP، زمینه های ورودی، زمینه های پنهان اصلاح شده، رها کردن لیست، و دیگر قطعات وب به درستی تایید شده است.

·         اطمینان حاصل شود که چک طول مناسب در تمام ورودی وجود داشته باشد.

·         اطمینان حاصل شود که تمام زمینه ها، کوکی ها، هدر HTTP / بدن، و زمینه های شکل معتبر می باشند.

·         اطمینان حاصل شود که داده ها به خوبی شکل گرفته است و تنها حاوی کاراکتر خوب در صورت امکان شناخته شده است.

·         اطمینان حاصل شود که اعتبار سنجی داده ها در سمت سرور رخ می دهد.

·         بررسی که در آن اعتبار سنجی داده ها رخ می دهد و اگر یک مدل متمرکز یا غیر متمرکز مدل استفاده شده است.

·         اطمینان حاصل شود هیچ درب پشتی در مدل اعتبار سنجی داده ها وجود دارد.

·         قانون طلایی: تمام ورودی های خارجی، بدون توجه به آنچه در آن است، مورد بررسی قرار و اعتبار.

خطا نشت جابجایی / اطلاعات:

·         اطمینان حاصل شود که تمام تماس های روش / تابع که یک مقدار بازگشتی رفع خطا مناسب و چک کردن مقدار بازگشتی.

·         اطمینان حاصل شود که استثنا و شرایط خطا به درستی به کار گرفته.

·         اطمینان حاصل شود که هیچ خطا سیستم را می توان از بازگشت به کاربران.

·         اطمینان حاصل شود که برنامه نتواند به شیوه ای امن.

·         منابع اطمینان منتشر می شوند، اگر خطا رخ می دهد.

ورود به سیستم / حسابرسی:

·         اطمینان حاصل شود که هیچ اطلاعات حساس است در صورت خطا وارد سایت شوید.

·         اطمینان از محموله در سیستم ثبت شده است از حداکثر طول تعریف شده و که مکانیسم ورود به سیستم به اجرا می گذارد که طول.

·         اطمینان از بدون اطلاعات حساس می توان به سیستم وارد. به عنوان مثال کوکی ها، HTTP 'GET' روش، اعتبارنامه احراز هویت.

·         بررسی در صورتی که برنامه را به اقدامات ممیزی که توسط نرم افزار گرفته از طرف مشتری (به خصوص دستکاری داده ها / ایجاد، بروز رسانی، حذف (CUD) عملیات).

·         اطمینان از موفق و ناموفق احراز هویت وارد شده است.

·         خطاهای برنامه اطمینان حاصل شود وارد سایت شوید.

·         بررسی نرم افزار برای ورود به سیستم اشکال زدایی با این دیدگاه به ثبت اطلاعات حساس است.

رمزنگاری:

·         اطمینان از بدون اطلاعات حساس را در انتقال روشن، داخلی و یا خارجی.

·         اطمینان از نرم افزار در حال اجرای روش های شناخته شده خوب رمزنگاری.

امن کد محیط زیست:

·         بررسی ساختار فایل. آیا هر گونه قطعات است که نباید طور مستقیم در دسترس در دسترس کاربر؟

·         تمام تخصیص حافظه / د تخصیص را بررسی کند.

·         بررسی نرم افزار برای SQL پویا و تعیین اگر آن را آسیب پذیر به تزریق شده است.

·         بررسی نرم افزار برای 'اصلی ()' از توابع اجرایی و محافظ اشکالزدایی / درب پشتی.

·         جستجو برای اظهار نظر کردن کد، اظهار نظر کردن کد تست، که ممکن است اطلاعات حساس باشد.

·         اطمینان از تمام تصمیمات منطقی یک بند به طور پیش فرض.

·         اطمینان از هیچ کیت محیط توسعه است در دایرکتوری ساخت موجود است.

·         جستجو برای هر گونه تماس به سیستم عامل و یا فایل تماس های باز و امکانات خطا را بررسی کند.

مدیریت جلسه:

·         بررسی چگونگی و زمانی که یک جلسه برای یک کاربر، غیرمجاز و تصدیق ایجاد شده است.

·         بررسی ID جلسه و بررسی در صورتی که به اندازه کافی پیچیده در تطابق با الزامات مورد قدرت است.

·         بررسی چگونگی جلسات ذخیره می شود: به عنوان مثال در یک پایگاه داده، در حافظه و غیره

·         بررسی چگونگی برنامه آهنگ جلسات.

·         تعیین اقدامات برنامه طول می کشد اگر یک ID جلسه نامعتبر است رخ می دهد.

·         بررسی ابطال را وارد نمایید.

·         تعیین چگونگی چند رشته ای چند کاربر / مدیریت جلسه انجام می شود.

·         تعیین فاصله جلسه HTTP عدم فعالیت.

·         تعیین چگونگی توابع قابلیت خروج از سیستم.

پیش نیاز در تحلیل تهدیدات درک درستی از تعریف عمومی از خطر است که احتمال این که یک عامل تهدید یک آسیب پذیری بهره برداری به علت ضربه به نرم افزار است. از منظر مدیریت ریسک، مدل سازی تهدید رویکرد سیستماتیک و استراتژیک برای شناسایی و شمارش تهدید به محیط نرم افزار با هدف به حداقل رساندن خطر و اثرات مرتبط است.

تجزیه و تحلیل خطر مانند شناسایی تهدید به نرم افزار است، و شامل تجزیه و تحلیل هر جنبه از قابلیت های نرم افزار و معماری و طراحی به شناسایی و طبقه بندی نقاط ضعف احتمالی که می تواند به بهره برداری شود.

در اولین گام مدل سازی تهدید، ما سیستم نشان دادن جریان داده، مرز اعتماد، قطعات فرایند، و نقاط ورود و خروج مدل شده است. یک مثال از چنین مدل سازی در مثال نشان داده شده: داده نمودار جریان برای وب سایت کتابخانه کالج.

جریان اطلاعات نشان می دهد که چگونه جریان منطقی داده از طریق پایان دادن به پایان، و اجازه می دهد تا شناسایی قطعات آسیب دیده از طریق نقاط بحرانی (به عنوان مثال داده ورود و یا خروج از سیستم، ذخیره سازی داده ها) و جریان کنترل از طریق این قطعات. مرز اعتماد نشان می دهد هر محل که در آن سطح اعتماد تغییر می دهد. اجزای فرایند را نشان می دهد که در آن داده های پردازش شده است، مانند وب سرور، سرور برنامه کاربردی، و سرورهای پایگاه داده. نقاط ورود را نشان می دهد که در آن داده وارد سیستم (به عنوان مثال زمینه های ورودی، روش) و نقاط خروج هستند که در آن برگ سیستم (به عنوان مثال خروجی پویا، روش) بود. نقاط ورود و خروج مرز اعتماد را تعریف کنیم.

لیست تهدید بر اساس مدل STRIDE در شناسایی تهدیدات با توجه به اهداف مهاجم مفید هستند. برای مثال، اگر سناریو تهدید است حمله به ورود به سیستم، می حیوان مهاجم وادار کردن رمز عبور برای شکستن احراز هویت؟ اگر سناریو تهدید است که سعی کنید به بالا بردن امتیازات به دست آوردن امتیازات کاربر دیگر، به مهاجم سعی کنید به انجام مرورگری اجباری؟

این حیاتی است که همه بردارهای حمله ممکن است باید به از نقطه نظر مهاجمین از نظر ارزیابی شده است. به همین دلیل، آن را نیز مهم به نظر نقاط ورود و خروج، چرا که آنها نیز می تواند تحقق انواع خاصی از تهدید اجازه می دهد.به عنوان مثال، صفحه ورود اجازه می دهد تا ارسال اعتبارنامه احراز هویت و داده های ورودی پذیرفته شده توسط یک نقطه ورود است به اعتبار برای ورودی های مخرب بالقوه به بهره برداری آسیب پذیری مانند تزریق SQL، برنامه نویسی وب سایت متقابل، و سرریزهای بافر. علاوه بر این، جریان داده ها از عبور از آن نقطه است برای تعیین تهدید به نقاط ورود به اجزای بعدی در امتداد جریان استفاده می شود. اگر اجزای زیر را می توان بحرانی در نظر گرفته (به عنوان مثال اطلاعات حساس نگه دارید)، که نقطه ورود می تواند مهم تر در نظر گرفته شده است. در پایان برای پایان دادن جریان داده ها، به عنوان مثال، داده های ورودی (نام کاربری به عنوان مثال و رمز عبور) از یک صفحه ورود به سیستم، بدون اعتبار به تصویب رسید، می تواند برای یک حمله تزریق SQL سوءاستفاده جهت دستکاری یک پرس و جو برای شکستن احراز هویت و یا برای تغییر یک جدول در پایگاه داده.

نقاط خروج ممکن است به عنوان نقطه حمله به مشتری (به عنوان مثال آسیب پذیری XSS) و همچنین برای تحقق آسیب پذیری افشای اطلاعات خدمت می کنند. به عنوان مثال، در مورد نقاط خروج از اجزای دست زدن به اطلاعات محرمانه (به عنوان مثال قطعات دسترسی به داده ها)، نقاط خروج فاقد کنترل های امنیتی برای محافظت از محرمانه بودن و یکپارچگی می تواند به افشای اطلاعات محرمانه به یک کاربر غیر مجاز منجر شود.

در بسیاری از موارد تهدید را فعال کنید توسط نقاط خروج به تهدید به نقطه ورود مربوطه در ارتباط است. در مثال ورود به سیستم، پیام های خطا به کاربر از طریق نقطه خروج بازگشت ممکن است برای حملات نقطه ورود، مانند برداشت حساب (به عنوان مثال نام کاربر یافت نشد)، یا تزریق SQL (به عنوان مثال خطاهای استثنا SQL) اجازه می دهد.

از منظر دفاعی، شناسایی تهدیدات امنیتی طبقه بندی های کنترل مانند ASF رانده می شود، اجازه می دهد تا یک تحلیلگر تهدید به مسائل خاص مربوط به نقاط ضعف (به عنوان مثال آسیب پذیری) در کنترل های امنیتی تمرکز می کنند. به طور معمول روند شناسایی تهدید شامل رفتن را از طریق چرخه تکرار شونده که در آن در ابتدا همه تهدیدات احتمالی در لیست تهدید که به هر جزء اعمال ارزیابی شده است.

در تکرار بعدی، تهدید بیشتر توسط جستجوی راههای حمله تجزیه و تحلیل، علل ریشه (به عنوان مثال آسیب پذیری، به تصویر کشیده به عنوان بلوک های نارنجی) برای تهدید به بهره برداری می شود، و کنترل های لازم کاهش (به عنوان مثال اقدامات متقابل، به تصویر کشیده به عنوان بلوک های سبز). درخت تهدید همانطور که در شکل 2 نشان داده شده است که به انجام تجزیه و تحلیل خطر مانند

هنگامی که تهدیدات مشترک، آسیب پذیری، و حملات عبارتند از ارزیابی، تجزیه و تحلیل خطر بیشتر متمرکز باید در استفاده از در نظر گرفتن و موارد سوء است. توسط به طور کامل تجزیه و تحلیل سناریوهای استفاده از، نقاط ضعف را می توان شناسایی است که می تواند به تحقق یک تهدید منجر شود. موارد تخلف باید به عنوان بخشی از فعالیت های امنیتی مورد نیاز مهندسی شناخته شده است.این موارد سوء استفاده می تواند نشان دهد چگونه اقدامات حفاظتی موجود را می توان دور زد، یا که در آن یک فقدان چنین محافظتی وجود ندارد. نمودار استفاده و سوء استفاده را برای احراز هویت مورد در شکل زیر نشان داده شده:

در نهایت، ممکن است که به همراه همه با هم با تعیین نوع تهدید برای هر جزء از سیستم تجزیه می شود. این را می توان با استفاده از یک طبقه بندی خطر مانند STRIDE یا ASF، استفاده از درختان تهدید برای تعیین چگونگی تهدید را می توان با یک آسیب پذیری در معرض، و استفاده و موارد سوء استفاده به اعتبار بیشتر به دلیل نبود یک اقدام متقابل برای کاهش تهدید انجام می شود.

برای اعمال STRIDE به جریان داده ها آیتم ها نمودار جدول زیر می توان استفاده کرد:

میز

تهدیدات را می توان از منظر عوامل خطر قرار گرفت. با تعیین عامل خطر ناشی از تهدید های مختلف شناسایی، آن را ممکن است برای ایجاد یک لیست اولویت بندی تهدیدات را به حمایت از یک استراتژی کاهش ریسک، مانند تصمیم گیری در مورد اینکه کدام تهدید برای اولین بار به کاهش است. عوامل خطر مختلف را می توان به تعیین که تهدید می تواند به عنوان بالا، متوسط، کم خطر و یا رتبه بندی استفاده می شود. به طور کلی، مدل های ریسک خطر استفاده از عوامل مختلف به مدل خطرات مانند نشان داده شده در شکل زیر:

>

در مدل رتبه بندی تهدید خطر مایکروسافت ترس، عوامل خطر فنی برای تاثیر هستند آسیب و کاربران را تحت تاثیر، در حالی که سهولت عوامل بهره برداری می شوند قابلیت تکرار پذیری، Exploitability و کشف. این فاکتور خطر اجازه می دهد تا تخصیص مقادیر به عوامل موثر مختلف یک تهدید است. برای تعیین رتبه بندی از تهدید، تحلیلگر تهدید است برای پاسخ به سوالات اساسی برای هر یک از عوامل خطر، برای مثال:

·         برای آسیب: چگونه بزرگ می شود آسیب اگر حمله موفق؟

·         برای تکرار پذیری: چه آسان است آن را به تولید مثل از یک حمله به کار می کند؟

·         برای Exploitability: چقدر زمان، تلاش، و تخصص مورد نیاز است به بهره برداری تهدید؟

·         برای کاربرانی که: اگر یک تهدید بهره برداری قرار گرفت، چه درصدی از کاربران تحت تاثیر شود؟

·         برای کشف کردن: چگونه از آن آسان برای حمله به کشف این تهدید است؟

با مراجعه به وب سایت کتابخانه کالج ممکن است به سند تهدید نمونه مربوط به موارد استفاده مانند:

تهدید: کاربر مخرب ها اطلاعات محرمانه از دانش آموزان، اعضای هیات علمی و کتابداران.

1.       پتانسیل خسارت: تهدید به شهرت و همچنین مسئولیت مالی و حقوقی: 8

2.       تکرار پذیری: به طور کامل تکرار: 10

3.       Exploitability: نیاز به در همان زیر شبکه باشد و یا یک روتر به خطر بیافتد کرده اند: 7

4.       کاربران تحت تاثیر قرار: بر تمام کاربران: 10

5.       کشف کردن: می توان یافت به راحتی: 10

به طور کلی نمره DREAD: (8 + 10 + 7 + 10 + 10) / 5 = 9

در این مورد با داشتن 9 در مقیاس 10 نقطه است که قطعا یک تهدید در معرض خطر

یک مدل ریسک کلی تر را در نظر می گیرد احتمال (به عنوان مثال احتمال حمله) و ضربه (به عنوان مثال بالقوه آسیب):

خطر = احتمال X ضربه

احتمال و یا احتمال با سهولت استثمار، که به طور عمده به نوع تهدید و ویژگی های سیستم بستگی دارد، و با این امکان را به تحقق بخشیدن به یک تهدید است، که توسط وجود یک اقدام متقابل مناسب تعیین تعریف شده است.

در زیر به مجموعه ای از ملاحظات برای تعیین سهولت بهره برداری است:

1.       می توانید یک مهاجم بهره برداری از این راه دور؟

2.       مهاجم نیاز به تصدیق شود؟

3.       می توانید بهره برداری خودکار می باشد.

تاثیر عمدتا در پتانسیل آسیب و میزان تاثیر، مانند تعداد از قطعات است که توسط یک تهدید تحت تاثیر قرار بستگی دارد.

نمونه برای تعیین پتانسیل آسیب عبارتند از:

1.       می توانید یک مهاجم به طور کامل سر می برد و دستکاری سیستم؟

2.       می توانید دسترسی دولت به حمله به سیستم؟

3.       می توانید یک مهاجم سقوط سیستم؟

4.       می توانید مهاجم دست آوردن دسترسی به اطلاعات حساس مانند اسرار، PII

نمونه هایی برای تعیین تعداد از قطعات است که توسط یک تهدید تحت تاثیر قرار:

1.       چگونه بسیاری از منابع داده و سیستم می تواند تحت تاثیر شود؟

2.       چگونه 'عمیق' به زیرساخت می تواند عامل خطر در رفتن؟

این نمونه در محاسبه ارزش خطر کلی انتصاب مقادیر کیفی مانند بالا، متوسط ​​و پایین به احتمال و عوامل تاثیر کمک کند. در این مورد، با استفاده از مقادیر کیفی، نه از آنهایی که عددی مانند در مورد مدل وحشت، کمک به جلوگیری از تبدیل شدن به رتبه بندی بیش از حد ذهنی است.

به منظور شناسایی متقابل برای تعیین اگر برخی از نوع اندازه گیری حفاظتی (مثل کنترل امنیت، سیاست) در جایی که می توانید هر تهدید قبلا از طریق تجزیه و تحلیل خطر از تحقق شناسایی جلوگیری وجود دارد. آسیب پذیری ها پس از این تهدیدات که هیچ اقدامات متقابل. از آنجا که هر یک از این تهدید است یا با STRIDE یا ASF طبقه بندی شده، آن را ممکن است برای پیدا اقدامات متقابل مناسب در نرم افزار در دسته داده شده است.

ارائه شده در زیر یک چک لیست مختصر و محدود است که به هیچ وجه یک لیست جامع برای شناسایی اقدامات متقابل برای تهدید خاص است.

به عنوان مثال از اقدامات متقابل برای انواع تهدید ASF در جدول زیر شامل:

هنگام استفاده از STRIDE، جدول تهدید کاهش زیر را می توان مورد استفاده برای شناسایی تکنیک های که می تواند برای کاهش تهدیدات.

هنگامی که تهدیدات و اقدامات متقابل مربوطه شناسایی می شوند ممکن است به استخراج مشخصات تهدید با شرایط زیر:

1.       تهدید کاهش غیر: تهدید که هیچ اقدامات متقابل و نشان دهنده آسیب پذیری است که می تواند به طور کامل مورد بهره برداری قرار و باعث تاثیر

2.       نیمه تهدیدات کاهش: تهدید بخشی از آن توسط یک یا چند اقدامات متقابل که نشان دهنده آسیب پذیری است که تنها می حدی بهره برداری می شود و باعث کاهش تاثیر محدود

3.       به طور کامل تهدیدات کاهش: این تهدیدها سودمند متقابل مناسب در محل و آسیب پذیری و علت تاثیر قرار ندهید

استراتژی های کاهش

هدف از مدیریت ریسک است برای کاهش تاثیر که بهره برداری از یک تهدید می توانید به برنامه داشته باشد. این را می توان با پاسخ به یک تهدید با یک استراتژی کاهش ریسک انجام می شود. به طور کلی پنج گزینه برای کاهش تهدید وجود دارد

1.       آیا هیچ چیز: به عنوان مثال، به امید بهترین ها

2.       اطلاع در مورد خطر: به عنوان مثال، هشدار جمعیت کاربر در مورد خطر

3.       کاهش خطر: به عنوان مثال، با قرار دادن اقدامات متقابل در محل

4.       قبول خطر: به عنوان مثال، پس از ارزیابی تاثیر بهره برداری (تاثیر کسب و کار)

5.       انتقال ریسک: به عنوان مثال، از طریق توافق قراردادی و بیمه

6.       خاتمه خطر: برای مثال، خاموش کردن، خاموش، جدا و یا decommission دارایی

تصمیمی که برای استراتژی مناسب ترین است بستگی به تاثیر بهره برداری از یک تهدید تواند داشته باشد، احتمال وقوع آن، و هزینه های برای انتقال (یعنی هزینه برای بیمه) و یا اجتناب از (یعنی هزینه و زیان به دلیل طراحی مجدد) آن است. این است که، مانند تصمیم در خطر یک تهدید به شمار به سیستم می باشد. بنابراین، استراتژی انتخاب می کند تهدید خود را، اما خطر آن را به سیستم به شمار کاهش نیست. در نهایت خطر به کاهش است را به حساب تاثیر کسب و کار، از آنجایی که این فاکتور بسیار مهم برای استراتژی مدیریت ریسک کسب و کار است. یک استراتژی می تواند به رفع آسیب پذیری تنها برای آن هزینه برای رفع کمتر از تاثیر بالقوه کسب و کار به دست آمده توسط بهره برداری از آسیب پذیری است. یکی دیگر از استراتژی می تواند به قبول ریسک در زمانی که از دست دادن برخی از کنترل های امنیتی (به عنوان مثال محرمانگی، یکپارچگی و در دسترس بودن) به معنی تخریب کوچکی از خدمات، و نه از دست دادن یک تابع حیاتی کسب و کار. در برخی از موارد، انتقال از خطر ابتلا به ارائه دهنده خدمات دیگری نیز ممکن است یک گزینه باشد.