Модель STRIDE
STRIDE — это модель для определения угроз компьютерной безопасности [1], разработанная Праэрит Гарг и Лорен Конфельдер в Microsoft . [2] Она предоставляет мнемонику для угроз безопасности в шести категориях. [3]
Угрозы таковы:
- S- подмена
- Т амперирование
- Отказ
- Раскрытие информации ( нарушение конфиденциальности или утечка данных )
- Отказ в обслуживании
- Повышение привилегий [4]
STRIDE изначально был создан как часть процесса моделирования угроз . STRIDE — это модель угроз, используемая для помощи в обосновании и поиске угроз для системы. Она используется в сочетании с моделью целевой системы, которая может быть построена параллельно. Это включает в себя полную разбивку процессов, хранилищ данных, потоков данных и границ доверия. [5]
Сегодня его часто используют эксперты по безопасности, чтобы ответить на вопрос «что может пойти не так в системе, над которой мы работаем?»
Каждая угроза представляет собой нарушение желательного свойства системы:
| Угроза | Желаемая недвижимость | Определение угрозы |
|---|---|---|
| Спуфинг | Подлинность | Притворяться кем-то или чем-то другим, а не самим собой |
| Фальсификация | Честность | Изменение чего-либо на диске, в сети, памяти или в другом месте |
| Отказ | Неотказуемость | Утверждение, что вы чего-то не делали или не несете ответственности; может быть честным или ложным |
| Раскрытие информации | Конфиденциальность | Кто-то получает информацию, на доступ к которой у него нет прав |
| Отказ в обслуживании | Доступность | Истощение ресурсов, необходимых для предоставления услуг |
| Повышение привилегий | Авторизация | Позволять кому-либо делать то, на что у него нет полномочий |
Заметки об угрозах
Отказ необычен, поскольку он представляет собой угрозу с точки зрения безопасности и является желательным свойством некоторых систем конфиденциальности, например, системы обмена сообщениями " Off the Record " Голдберга. Это полезная демонстрация напряжения, с которым иногда приходится сталкиваться при анализе дизайна безопасности.
Повышение привилегий часто называют эскалацией привилегий или эскалацией привилегий. Это синонимы.
Смотрите также
- Дерево атак – еще один подход к моделированию угроз безопасности, вытекающий из анализа зависимостей.
- Кибербезопасность и контрмеры
- DREAD – система классификации угроз безопасности
- OWASP – организация, занимающаяся повышением безопасности веб-приложений посредством образования.
- CIA также известно как AIC [6] [7] – еще одно мнемоническое обозначение модели безопасности для создания безопасности в ИТ-системах.
Ссылки
- ^ Kohnfelder, Loren; Garg, Praerit (1 апреля 1999 г.). «Угрозы нашим продуктам». Microsoft Interface . Получено 13 апреля 2021 г.
- ^ Шостак, Адам (27 августа 2009 г.). ""Угрозы нашим продуктам"". Блог Microsoft SDL . Microsoft . Получено 18 августа 2018 г. .
- ^ "Модель угроз STRIDE". Microsoft . Microsoft.
- ^ Гусман, Аарон; Гупта, Адитья (2017). IoT Penetration Testing Cookbook: Identify Vulnerabilities and Secure your Smart Devices . Packt Publishing. С. 34–35 . ISBN 978-1-78728-517-0.
- ^ Шостак, Адам (2014). Моделирование угроз: проектирование для безопасности . Wiley. С. 61–64 . ISBN 978-1118809990.
- ^ «Ключевые проблемы кибербезопасности ОТ: доступность, целостность и конфиденциальность». tripwire.com . Получено 20 июля 2022 г.
- ^ "Что такое триада ЦРУ? Определение, объяснение и примеры". WhatIs.com . Получено 01.05.2022 .
Внешние ссылки
- Выявите недостатки в проектировании систем безопасности с помощью подхода STRIDE
 | Эта статья по информатике — заглушка . Вы можете помочь Википедии, расширив ее. |
