Casa Finanza personale Che cos'è la modellazione delle minacce di sicurezza? - dummies

Che cos'è la modellazione delle minacce di sicurezza? - dummies

Sommario:

Video: L'evoluzione del SOC di un'infrastruttura critica - Giovanni Mellini - HackInBo® Spring Edition 2025

Video: L'evoluzione del SOC di un'infrastruttura critica - Giovanni Mellini - HackInBo® Spring Edition 2025
Anonim

Modellazione delle minacce è un tipo di analisi dei rischi utilizzata per identificare i difetti di sicurezza nella fase di progettazione di un sistema informativo. La modellazione delle minacce viene spesso applicata alle applicazioni software, ma può essere utilizzata con sistemi operativi e dispositivi con la stessa efficacia.

La modellizzazione delle minacce è tipicamente incentrata sugli attacchi; la modellazione delle minacce viene spesso utilizzata per identificare le vulnerabilità che possono essere sfruttate da un utente malintenzionato nelle applicazioni software.

La modellazione delle minacce è più efficace se eseguita nella fase di progettazione di un sistema o applicazione di informazioni. Quando le minacce e la loro mitigazione vengono identificate nella fase di progettazione, viene risparmiato molto sforzo evitando modifiche di progettazione e correzioni in un sistema esistente.

Sebbene esistano approcci diversi alla modellazione delle minacce, i passaggi tipici sono

  • Identificazione delle minacce
  • Determinazione e diagrammi di potenziali attacchi
  • Esecuzione dell'analisi di riduzione
  • Risanamento delle minacce

Identificazione delle minacce

L'identificazione delle minacce è il primo passo che viene eseguito nella modellazione delle minacce. Le minacce sono quelle azioni che un utente malintenzionato potrebbe eseguire correttamente se sono presenti vulnerabilità corrispondenti nell'applicazione o nel sistema.

Per le applicazioni software, ci sono due mnemonici usati come ausilio nella memoria durante la modellazione delle minacce. Sono

  • STRIDE, un elenco di minacce di base (sviluppato da Microsoft):
    • Spoofing dell'identità utente
    • Manomissione
    • Rifiuto
    • Divulgazione delle informazioni
    • Negazione del servizio
    • Elevazione dei privilegi
  • DREAD, una vecchia tecnica usata per valutare le minacce:
    • Danni
    • Riproducibilità
    • Sfruttabilità
    • Utenti interessati
    • Scoperabilità

Mentre questi stessi mnemonici non contengono minacce, assistono la modellizzazione delle minacce individuali, ricordando l'individuo delle categorie di minacce di base (STRIDE) e le loro analisi (DREAD).

Le appendici D ed E in NIST SP800-30, Guida per la conduzione delle valutazioni del rischio, sono una buona fonte generica di minacce.

Determinazione e diagrammi di potenziali attacchi

Dopo aver identificato le minacce, la modellazione delle minacce continua attraverso la creazione di diagrammi che illustrano gli attacchi a un'applicazione oa un sistema. È possibile sviluppare un albero di attacco. Descrive i passaggi necessari per attaccare un sistema. La seguente figura illustra un albero di attacco di un'applicazione di mobile banking.

Albero di attacco per un'applicazione di mobile banking.

Un albero di attacco illustra i passaggi utilizzati per attaccare un sistema di destinazione.

Esecuzione dell'analisi della riduzione

Quando si esegue un'analisi delle minacce su un'applicazione complessa o un sistema, è probabile che vi siano molti elementi simili che rappresentano duplicati della tecnologia. L'analisi di riduzione è un passo facoltativo nella modellazione delle minacce per evitare la duplicazione degli sforzi. Non ha senso passare molto tempo ad analizzare diversi componenti in un ambiente se utilizzano tutti la stessa tecnologia e configurazione.

Ecco alcuni esempi tipici:

  • Un'applicazione contiene diversi campi modulo (derivati ​​dallo stesso codice sorgente) che richiedono il numero di conto bancario. Poiché tutti i moduli di input sul campo utilizzano lo stesso codice, l'analisi dettagliata deve essere eseguita una sola volta.
  • Un'applicazione invia diversi tipi di messaggi sulla stessa connessione TLS. Poiché vengono utilizzati lo stesso certificato e la stessa connessione, l'analisi dettagliata della connessione TLS deve essere eseguita una sola volta.

Tecnologie e processi per rimediare alle minacce

Proprio come nell'analisi dei rischi di routine, il prossimo passo nell'analisi delle minacce è l'enumerazione delle potenziali misure per mitigare la minaccia identificata. Poiché la natura delle minacce varia molto, la riparazione può consistere in uno o più dei seguenti per ciascun rischio:

  • Modificare il codice sorgente (ad esempio, aggiungere funzioni per esaminare da vicino i campi di input e filtrare gli attacchi di iniezione).
  • Cambia configurazione (ad esempio, passa a un algoritmo di crittografia più sicuro o espira le password più frequentemente).
  • Cambia processo aziendale (ad esempio, aggiungi o cambia passaggi in un processo o procedura per registrare o esaminare i dati chiave).
  • Cambiare il personale (ad esempio, fornire formazione, trasferire la responsabilità di un'attività a un'altra persona)

Ricordare che le quattro opzioni per il trattamento del rischio sono la mitigazione, il trasferimento, l'elusione e l'accettazione. Nel caso della modellazione di minacce, alcune minacce potrebbero essere accettate così come sono.

Che cos'è la modellazione delle minacce di sicurezza? - dummies

Scelta dell'editore

Scelta dell'editore

HDR Fotografia: Regola le impostazioni in Photomatix Dettagli Enhancer - dummies

HDR Fotografia: Regola le impostazioni in Photomatix Dettagli Enhancer - dummies

Finanza personale

Dettagli Enhancer in Photomatix Pro ti consente di toni mappa le tue immagini ad alta gamma dinamica (HDR). Come puoi vedere da questa figura, ci sono un certo numero di controlli. Per fortuna, sono ben organizzati in aree funzionali. Le tre finestre mobili mostrano le impostazioni, l'anteprima dell'immagine e l'istogramma. Forza: controlla la forza di potenziamento del contrasto, sia locale ...

HDR Fotografia - Miscela materiale da fonti alternative - manichini

HDR Fotografia - Miscela materiale da fonti alternative - manichini

Finanza personale

Cerca le aree dove potresti aver bisogno per mescolare il materiale da fonti alternative. Ad esempio, se una parte del cielo è saltata fuori, potresti voler sostituire il cielo scoppiato con una versione che è stata mappata in modo diverso in modo che il cielo appaia meglio (ciò che spesso accade è il resto ...

HDR Fotografia: scegli un formato file - dummies

HDR Fotografia: scegli un formato file - dummies

Finanza personale

Quando crei un'immagine ad alta gamma dinamica, spesso viene data la possibilità di salvarlo come file HDR per un uso successivo. Se lo si salva come file HDR dipende in parte dalle preferenze e in parte da ciò che si intende fare. Normalmente, salti a destra nella mappatura dei toni, salva il minimo finale ...

Scelta dell'editore

Farmaci Opzioni per gestire la rabbia - manichini

Farmaci Opzioni per gestire la rabbia - manichini

Social media

La maggior parte dei programmi di gestione della rabbia non affronta il problema dei farmaci. In parte, probabilmente perché i farmaci non sono in realtà un modo per gestire la tua rabbia. E gli studi sull'efficacia dei farmaci per la rabbia sono stati alquanto incoerenti. Tuttavia, dovresti sapere che i farmaci possono essere un'opzione per alcune persone, specialmente quando altri disturbi emotivi, come ...

Gestione di amici e parenti con intelligenza emotiva - manichini

Gestione di amici e parenti con intelligenza emotiva - manichini

Social media

Ecco alcuni modi in cui si praticano tecniche di intelligenza emotiva con amici intimi e i parenti possono aiutarti a disinnescare situazioni difficili ea mantenere relazioni equilibrate e soddisfacenti con i tuoi cari. A partire dal finale le persone a volte interrompono completamente i contatti con parenti e amici e potresti trovarti in una situazione in cui ...

Mini questionario motivazionale - manichini

Mini questionario motivazionale - manichini

Social media

Dai un'occhiata al seguente elenco di compiti e decidi se vuoi ottenerne uno. Seleziona le attività che pensi di voler intraprendere: Acquistare una nuova casa Decorare la tua casa Sviluppare uno stile di vita più salutare Ottenere un nuovo lavoro Ottenere una promozione di lavoro Passare gli esami Lavorare per un ...

Scelta dell'editore

Come identificare i trigger di rabbia - dummies

Come identificare i trigger di rabbia - dummies

Social media

Conoscere i trigger di rabbia - gli eventi e le situazioni che ti fanno impazzire - è importante perché risponderai in modo più efficace alla tua rabbia quando ti sentirai preparato. Anticipare la possibilità di rabbia aumenta la capacità di esprimerlo in modo più costruttivo. Ecco alcuni trigger di rabbia comuni. Molte persone si sentono ...

Come misurare il tuo stress - manichini

Come misurare il tuo stress - manichini

Social media

Riconoscere i sintomi dello stress e quanto spesso si verificano può aiutarti ad affrontare lo stress. Utilizza le due settimane precedenti come periodo di tempo e registra l'occorrenza dei seguenti segni e sintomi fisici ed emotivi di stress. Dopo aver identificato i sintomi dello stress e quanto spesso si verificano, utilizzare la scala di valutazione dello stress per trovare il ...

Come calmare la mente - dummies

Come calmare la mente - dummies

Social media

Trovare modi per ridurre i livelli di stress aumenterà la tua felicità. A volte distrarti non è abbastanza per calmare la tua mente. A volte avete bisogno di misure più forti per eliminare, o almeno rallentare, quelle preoccupazioni e preoccupazioni indesiderate e che producono stress. Forse hai una preoccupazione inquietante che ti intrude continuamente nel tuo pensiero e ti impedisce di goderti ...

Scelta dell'editore

Scelta dell'editore

Categorie popolari

© Copyright it.blender3dtutorials.com, 2025 Febbraio | Informazioni sul sito | Contatti | Politica sulla riservatezza.