La valutazione del rischio delle minacce è uguale alla modellazione del rischio di minaccia?

3

Mi è stato chiesto di aiutare a compilare un sondaggio e una delle domande è se una valutazione del rischio di minaccia è stata eseguita su un blog che stiamo organizzando per un ente di beneficenza. Il blog di WordPress utilizzerà un tema gratuito. Sarà amministrato da 5 amministratori di contenuti, ma in caso contrario, non vi è contenuto protetto da password e tutte le informazioni sono pubblicamente disponibili.

Non ho familiarità con Threat Risk Assessment, quindi ho eseguito una ricerca su google. Vedo che ci sono alcune pratiche note nel settore per la modellazione del rischio di minacce, come STRIDE e DREAD. La modellazione del rischio di minaccia è intesa come la stessa cosa della valutazione del rischio di minaccia? In tal caso, posso rispondere affermando che assumeremo qualcuno incaricato di eseguire una valutazione del rischio di minaccia DREAD? La valutazione del rischio delle minacce è uguale alla modellizzazione del rischio delle minacce?

    
posta John 01.08.2017 - 00:03
fonte

1 risposta

1

La valutazione del rischio è descritta come

Risk assessment determines the value of the information assets, identifies the applicable threats and vulnerabilities that exist (or could exist), identifies the existing controls and their effect on the risk identified, determines the potential consequences and finally prioritizes the derived risks and ranks them against the risk evaluation criteria set in the context establishment.

in ISO / IEC 27005: 2011.

Una valutazione del rischio di minaccia fa esattamente questo, ma concentrandosi sulle minacce nei confronti di un'organizzazione / sistema / software (qualunque cosa tu abbia impostato come ambito).

Per fare un esempio, se dovessi eseguire un TRA per il tuo blog, un risultato potrebbe essere:

Asset : webserver

Minaccia : abuso dei diritti

Vulnerabilità : tutti gli amministratori hanno accesso al pannello di controllo dell'amministratore (o qualsiasi cosa venga chiamata in wordpress)

Controllo : Accidenti, non lo so?!?

Effetto sul rischio : riduce la probabilità del X%

Ora hai finito con la valutazione del rischio (in poche parole). Dopo aver completato questo per tutte le risorse all'interno dell'ambito scelto, modella le tue minacce. Questo significa che provi a 'pensare' come un aggressore che vuole danneggiare te / il tuo sistema. Come cercherebbe di raggiungere il suo obiettivo? Se non puoi farlo tu stesso, assumi un consulente, un esperto di sicurezza IT o visiti Sec.SE e fai una domanda:

You: "Heyyy guyzz, how would an admin abuse his rights, if he was, like, an admin on my blog?" (not you obviously)

Ottieni una risposta sofisticata che descrive come questo amministratore lo farebbe.

Sec.SE: "Oftentimes administrators have more rights, than they need. Imagine a team of - let's say - 5 admins. Each admin has a specific role. Admin A is responsible for uploading new content, Admin B is responsible for moderating comments, Admin C is responsible for maintaining the database and so on. This obviously means, that each admin should only have the rights, that he/she definitely needs to have. You should definitely restrict the rights for admins in a way, that they are only allowed to do things, that they have to, according to their roles.

Ora hai modellato (!) una minaccia e hai anche stabilito un controllo. Complimenti!

    
risposta data 01.08.2017 - 11:04
fonte

Leggi altre domande sui tag