Come creare requisiti di sicurezza non generici per una fase di idea?

0

Il nostro manager ci chiede spesso una rapida comprensione di quali rischi si baseranno su alcune idee su cui il dipartimento ha lavorato durante la fase di ideazione (i requisiti aziendali sono generalmente scritti ma nessun impianto è stato eseguito).

Questi team chiedono rischi per la sicurezza e minacce per vedere se l'idea vale anche la pena passare o quanta sicurezza costituirà una barriera quando si implementa la soluzione o l'idea.

Come creare requisiti di sicurezza non generici per una fase di idea?

    
posta Filopn 03.12.2018 - 16:50
fonte

2 risposte

2

Sembra una grande applicazione per la modellazione delle minacce come parte del processo di progettazione. Se non si è familiari, la modellazione delle minacce è una tecnica che prevede la creazione di scenari di minacce, in cui viene analizzato un prodotto / servizio / sistema per individuare potenziali rischi. Fondamentalmente, i modelli di minacce sono semplicemente scomposizioni concettuali che affrontano potenziali minacce, quindi possono davvero prendere qualsiasi formato. È comune, tuttavia, creare diagrammi visivi di modelli di minacce da illustrare, in particolare utilizzando uno schema di progettazione unificato specifico. Microsoft ha un popolare strumento di modellazione delle minacce per l'attività visiva e OWASP ha anche un progetto per uno strumento per la creazione di diagrammi del modello di minaccia OSS. Buona fortuna!

    
risposta data 03.12.2018 - 18:21
fonte
-1

Analizziamo il modello delle minacce utilizzando le prime due domande del framework di modellazione delle minacce a 4 domande (su cosa stiamo lavorando, cosa può andare storto, cosa faremo al riguardo?) e il triangolo di minaccia / requisito / controllo.

Inizia chiedendo a a cosa stiamo lavorando e a come potrebbe essere. Puoi farlo con i progetti di lavagna. Ad esempio, se "su cosa stiamo lavorando" è una nuova lampadina IoT controllata tramite il cloud, è possibile disegnare tali componenti; se è controllato da bluetooth, puoi immaginare quali componenti ci sono.

Da lì, puoi guardare cosa può andare storto con il brainstorming, usando STRIDE o una kill chain. È possibile elencare minacce come spoofing degli utenti sul sito cloud, spoofing di dispositivi che parlano agli account di altre persone; manomissione dei dispositivi su un sito aereo, ecc.

Con ciò, puoi usare il triangolo di minaccia / requisito / controllo per usare le tue minacce per elencare i requisiti. Il triangolo è:

L'ideaallabaseèchescopriunaminaccia,peresempio,chiunquepuòinseriredeltestonelsitoweb.L'integritàèunrequisito?Èinbaseallaprogettazionechepossiamomodificarealcuni,manontuttoiltestoquisuSE,esarebbeunagraveviolazioneawhitehouse.gov.

(Ildiagrammaètrattoda link )

    
risposta data 08.12.2018 - 17:26
fonte