Metodi per determinare se un bug del software è un rischio per la sicurezza?

3

Non voglio entrare nello specifico.

Ho trovato un bug da un enorme fornitore di software. Come ogni altro utente responsabile, ho segnalato il bug al fornitore di software.

È difficile stabilire se questo bug possa essere considerato un rischio per la sicurezza o meno, poiché non direttamente compromette la sicurezza. Tuttavia, potrei sicuramente vederlo come un vettore per "scavare più a fondo".

Indipendentemente dalle mie scoperte o interpretazioni del bug, mi ha fatto pensare: come si determina sistematicamente se un bug del software debba essere etichettato come un "difetto di sicurezza"?

    
posta Gavin Youker 11.01.2017 - 08:07
fonte

2 risposte

2

L'approccio metodico a questo è di passare attraverso un framework di sicurezza software standard come OWASP Software Assurance Maturity Model (OWASP SAMM Project ) o BSSIM o qualsiasi altro modello standard di Maturità della sicurezza del software. È necessario identificare correttamente elementi quali agenti di minaccia, vettori di attacco, debolezza della sicurezza, controlli di sicurezza, impatti tecnici e impatti sul business del bug identificato in termini di sicurezza.

Quindi devi modellarlo usando un framework per modelli di minaccia e classifica il tuo bug identificato. Esistono numerosi modelli di minacce come CVSS , < a href="https://www.google.com.au/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&cad=rja&uact=8& SQI = 2 & ved = 0ahUKEwjFk6KDzrnRAhVCNJQKHS0aDd0QFggjMAA & url = https% 3A% 2F% 2Fen.wikipedia.org% 2Fwiki% 2FDREAD_ (risk_assessment_model) & USG = AFQjCNFTC1JJW49SnZMkdi7YvXJ-B5AYCA & BVM = bv.143423383, d.dGo "> DREAD , STRIDE . Infine, è necessario identificare il ROI dell'impegno necessario per risolvere questo problema. L'azienda utilizzerebbe i valori restituiti dall'analisi del modello e darà il via o no per risolvere il problema.

    
risposta data 11.01.2017 - 08:58
fonte
0

Vorrei correre il rischio che questa domanda non possa essere risolta. L'argomento è troppo ampio e non specificato.

Un "difetto di sicurezza" è prima di tutto dominio e applicazione specifica. Un "difetto di sicurezza" in un'applicazione può essere considerato una "caratteristica" in un altro in un dominio totalmente non correlato (ad esempio, l'arresto non autenticato di un sistema è cattivo online in borsa, buono su una piattaforma petrolifera se la pompa è fuori controllo ).

Quindi non sappiamo come classificare i bug nel posto:)

Una buona soluzione potrebbe essere una valutazione del rischio basata su valutazioni del rischio che a sua volta si basa sulla tua specifica. Per questo, avresti bisogno di specialisti ("i ragazzi della sicurezza informatica") coinvolti nel progetto stesso. Sarebbe consigliabile coinvolgerli dall'offerta / fase di pianificazione iniziale, in modo da poter identificare potenziali insidie lungo il percorso durante lo sviluppo. Purtroppo, al giorno d'oggi la sicurezza viene sempre aggiunta durante le fasi successive o successive e quasi sempre comporta un sovraccarico non necessario a causa di ciò.

La cosa brutta della sicurezza è: una buona sicurezza è invisibile, quindi difficile da commercializzare / vendere; la mancanza di sicurezza d'altra parte è probabilmente devastantemente pessima.

E chiudo con un aneddoto proveniente da fonti segrete (presumibilmente originario di Amazon): il capo del dipartimento di sicurezza IT afferma nella riunione annuale di valutazione: "Non abbiamo avuto incidenti lo scorso anno, quindi vorremmo raddoppiare il nostro budget per il prossimo anno. "

    
risposta data 11.01.2017 - 08:17
fonte

Leggi altre domande sui tag