Quando hai finito di scomporre le minacce?

1

I nostri team di sviluppo si stanno rendendo conto della scoperta delle minacce STRIDE, ma un problema che rimane è legato alla decomposizione delle minacce.

Il modo in cui vediamo l'analisi delle minacce è che consiste nell'identificare le minacce applicabili e quindi determinare quali tipi di attacchi (siano attacchi come XSS, o uso improprio di un flusso di controllo mal progettato) possono realizzare quelle minacce.

Questa decomposizione delle minacce è complicata, poiché la qualità di questo compito è determinata dal target di analisi, dalla conoscenza (e persino da qualcosa di banale come l'umore) del gruppo che esegue l'analisi e dal tempo dedicato a questa attività. Determiniamo rapidamente i problemi di "frutta a bassa attaccatura", quindi, con il passare del tempo, si ottengono sempre meno credibili vettori di attacco.

Quali sono gli approcci accettabili per determinare la condizione di arresto della decomposizione delle minacce? È semplicemente un tempo? In che modo le organizzazioni gestiscono questo aspetto?

    
posta Nikola Luburić 14.09.2018 - 08:46
fonte

2 risposte

1

Risponderò con una citazione del libro di Adam Shostack del 2014 Modellazione delle minacce - Progettazione per la sicurezza .

There are three ways to judge whether you’re done finding threats with STRIDE.

The easiest way is to see if you have a threat of each type in STRIDE.1 Slightly harder is ensuring you have one threat per element of the diagram.2 However, both of these criterion will be reached before you’ve found all threats. For more comprehensiveness, use STRIDE-per-element3, and ensure you have one threat per check. Not having met these criteria will tell you that you’re not done, but having met them is not a guarantee of completeness.

1 Se la tua squadra sta già modellando con STRIDE, dovrebbero saperlo, ma lo menzionerò in entrambi i modi: STRIDE è ovviamente un acronimo che sta per: spoofing, manomissione, ripudio, divulgazione di informazioni, denial of service e elevazione del privilegio. Questi sono anche i tipi di minacce .

2 Shostack spiega che prima di iniziare con il modello di minaccia devi costruire un diagramma del tuo oggetto di ricerca. Questo è ciò a cui si riferisce quando parla di un diagramma.

3 STRIDE-per-element è - per quanto ho capito - un approccio più microscopico alla modellazione delle minacce. Si prendono elementi del diagramma e si esaminano solo determinati tipi di minacce per ogni elemento. Qui 's blogpost kinda spiegando il tutto. Da una rapida occhiata, questo sembra avere i suoi vantaggi.

    
risposta data 14.09.2018 - 16:54
fonte
1

Ho difficoltà a discutere con una risposta che mi cita, quindi aggiungerò che a volte i rischi, la sensibilità dei dati, l'impatto della violazione, possono informare quanto lontano vai.

    
risposta data 14.09.2018 - 23:28
fonte

Leggi altre domande sui tag