Mulai menggunakan Alat Pemodelan Ancaman
Alat Pemodelan Ancaman Microsoft 2018 dirilis sebagai GA pada bulan September 2018 sebagai klik-untuk-unduh gratis. Perubahan mekanisme pengiriman memungkinkan kami untuk mendorong peningkatan terbaru dan perbaikan bug kepada pelanggan setiap kali mereka membuka alat, membuatnya lebih mudah dipertahankan dan digunakan. Artikel ini memandu Anda melalui proses memulai dengan pendekatan pemodelan ancaman Microsoft SDL dan menunjukkan kepada Anda cara menggunakan alat ini untuk mengembangkan model ancaman hebat sebagai tulang punggung proses keamanan Anda.
Artikel ini membangun berdasarkan pengetahuan yang ada tentang pendekatan pemodelan ancaman SDL. Untuk ulasan singkat, lihat Aplikasi Web Pemodelan Ancaman dan versi arsip dari artikel MSDN Temukan Kelemahan Keamanan Menggunakan Pendekatan STRIDE yang diterbitkan pada tahun 2006.
Untuk meringkas dengan cepat, pendekatan ini melibatkan membuat diagram, mengidentifikasi ancaman, memitigasi ancaman, dan memvalidasi setiap mitigasi. Berikut adalah diagram yang menyoroti proses ini:
Memulai proses pemodelan ancaman
Saat meluncurkan Alat Pemodelan Ancaman, Anda akan melihat beberapa hal, seperti yang terlihat pada gambar:
Bagian model ancaman
| Komponen | Detail |
|---|---|
| Umpan Balik, Saran, dan Tombol Masalah | Membawa Anda Forum MSDN untuk semua hal terkait SDL. Ini memberi Anda kesempatan untuk membaca apa yang dilakukan pengguna lain, bersama dengan solusi dan rekomendasi. Jika Anda masih tidak dapat menemukan apa yang Anda cari, kirim email ke tmtextsupport@microsoft.com agar tim dukungan kami dapat membantu Anda |
| Buat model | Membuka kanvas kosong bagi Anda untuk menggambar diagram Anda. Pastikan untuk memilih template mana yang ingin Anda gunakan untuk model Anda |
| Template untuk Model Baru | Anda harus memilih template mana yang akan digunakan sebelum membuat model. Template utama kami adalah Azure Threat Model Template, yang berisi stensil, ancaman, dan mitigasi khusus Azure. Untuk model generik, pilih SDL TM Knowledge Base dari menu drop-down. Ingin membuat template Anda sendiri atau mengirimkan template baru untuk semua pengguna? Lihat Halaman GitHub Repositori Template kami untuk mempelajari lebih lanjut |
| Buka Model | Membuka model ancaman yang disimpan sebelumnya. Fitur Model yang Baru Dibuka sangat bagus jika Anda perlu membuka file terbaru Anda. Saat mengarahkan kursor ke pilihan, Anda akan menemukan 2 cara untuk membuka model:
|
| Panduan Memulai | Membuka halaman utama Alat Pemodelan Ancaman Microsoft |
Bagian template
| Komponen | Detail |
|---|---|
| Membuat Template Baru | Membuka template kosong untuk Anda bangun. Kecuali Anda memiliki pengetahuan mendalam tentang membangun template dari awal, kami sarankan Anda untuk membangun dari yang sudah ada |
| Buka Template | Membuka template yang sudah ada bagi Anda untuk diubah |
Tim Alat Pemodelan Ancaman terus berupaya meningkatkan fungsionalitas dan pengalaman alat. Beberapa perubahan kecil mungkin terjadi sepanjang tahun ini, tetapi semua perubahan besar memerlukan penulisan ulang dalam panduan. Sering-seringlah merujuk ke panduan untuk memastikan Anda mendapatkan pengumuman terbaru.
Membangun model
Di bagian ini, kami mengikuti:
- Cristina (pengembang)
- Ricardo (manajer program) dan
- Ashish (penguji)
Mereka sedang menjalani proses pengembangan model ancaman pertama mereka.
Ricardo: Hai Cristina, saya mengerjakan diagram model ancaman dan ingin memastikan kami memahami detailnya dengan tepat. Dapatkah Anda membantu saya memeriksanya? Cristina: Tentu saja. Mari kita lihat. Ricardo membuka alat dan berbagi layarnya dengan Cristina.
Cristina: Oke, terlihat benar, tapi dapatkah Anda memandu saya memahaminya? Ricardo: Tentu! Berikut rinciannya:
- Pengguna manusia kami digambar sebagai entitas luar—yaitu persegi
- Mereka mengirim perintah ke server Web kami—yaitu lingkaran
- Server Web sedang berkonsultasi dengan database (dua garis paralel)
Apa yang baru saja ditunjukkan Ricardo kepada Cristina adalah DFD, kependekan dari Diagram Aliran Data . Alat Pemodelan Ancaman memungkinkan pengguna untuk menentukan batas kepercayaan, yang ditunjukkan oleh garis putus-putus merah, untuk menunjukkan kendali yang dipegang oleh entitas yang berbeda. Misalnya, administrator IT memerlukan sistem Direktori Aktif untuk tujuan autentikasi, sehingga Direktori Aktif berada di luar kendali mereka.
Cristina: Bagi saya ini terlihat benar. Bagaimana dengan ancamannya? Ricardo: Mari saya tunjukkan kepada Anda.
Menganalisis ancaman
Setelah ia mengklik tampilan analisis dari pemilihan menu ikon (file dengan kaca pembesar), ia dibawa ke daftar ancaman yang dihasilkan, Threat Modeling Tool yang ditemukan berdasarkan templat default, yang menggunakan pendekatan SDL yang disebut STRIDE (Spoofing, Tampering, Repudiation, Info Disclosure, Denial of Service dan Elevation of Privilege). Maksudnya adalah bahwa perangkat lunak berada di bawah serangkaian ancaman yang dapat diprediksi, yang dapat ditemukan menggunakan 6 kategori ini.
Pendekatan ini seperti mengamankan rumah Anda dengan memastikan setiap pintu dan jendela memiliki mekanisme penguncian sebelum menambahkan sistem alarm atau mengejar pencuri.
Ricardo memulai dengan memilih item pertama dalam daftar. Inilah yang terjadi:
Pertama, interaksi antara dua stensil ditingkatkan
Kedua, informasi tambahan tentang ancaman muncul di jendela Properti Ancaman
Ancaman yang dihasilkan membantu Ricardo memahami potensi kelemahan desain. Kategorisasi STRIDE memberinya ide tentang vektor serangan potensial, sementara deskripsi tambahan memberitahunya apa yang salah, beserta cara potensial untuk memitigasinya. Ia dapat menggunakan bidang yang dapat diedit untuk menulis catatan dalam detail pembenaran atau mengubah peringkat prioritas tergantung pada bilah bug organisasinya.
Template Azure memiliki detail tambahan untuk membantu pengguna memahami tidak hanya apa yang salah, tetapi juga cara memperbaikinya dengan menambahkan deskripsi, contoh, dan hyperlink ke dokumentasi khusus Azure.
Deskripsi itu membuatnya menyadari pentingnya menambahkan suatu mekanisme autentikasi untuk mencegah pengguna ditiru, mengungkapkan ancaman pertama yang harus dikerjakan. Setelah berdiskusi beberapa menit dengan Cristina, mereka memahami pentingnya menerapkan kontrol akses dan peran. Ricardo mengisi beberapa catatan pendek untuk memastikan hal tersebut diterapkan.
Ketika Ricardo masuk ke ancaman di bawah Pengungkapan Informasi, ia menyadari rencana kontrol akses membutuhkan beberapa akun baca-saja untuk audit dan pembuatan laporan. Dia bertanya-tanya apakah ini harus menjadi ancaman baru, tetapi mitigasinya sama, jadi dia mencatat ancaman tersebut seperti itu. Dia juga berpikir kembali tentang pengungkapan informasi dan menyadari bahwa kaset cadangan akan membutuhkan enkripsi, yang menjadi pekerjaan untuk tim operasi.
Ancaman yang tidak berlaku untuk desain karena mitigasi atau jaminan keamanan yang ada dapat diubah menjadi "Tidak Berlaku" dari drop-down Status. Ada tiga pilihan lain: Belum Dimulai – pilihan default, Perlu Investigasi – digunakan untuk menindaklanjuti item, dan Dimitigasi – setelah sepenuhnya dikerjakan.
Laporan & berbagi
Setelah Ricardo membahas daftar tersebut bersama Cristina dan menambahkan beberapa catatan penting, mitigasi/pembenaran, perubahan prioritas dan status, ia memilih Laporan -> Buat Laporan Lengkap -> Simpan Laporan, yang mencetak laporan yang rapi baginya untuk dibahas bersama para rekan kerjanya guna memastikan penerapan keamanan yang tepat.
Jika Ricardo memilih untuk berbagi file, ia dapat dengan mudah melakukannya dengan menyimpan di akun OneDrive organisasinya. Setelah ia melakukan hal tersebut, ia dapat menyalin tautan dokumen dan membagikannya dengan rekan-rekannya.
Rapat pemodelan ancaman
Ketika Ricardo mengirim model ancamannya kepada rekannya menggunakan OneDrive, Ashish, penguji, merasa kecewa. Tampaknya Ricardo dan Cristina melewatkan beberapa kasus penting, yang dapat dengan mudah disusupi. Rasa skeptisnya melengkapi model ancaman.
Dalam skenario ini, setelah Ashish mengambil alih model ancaman, ia mengajukan dua rapat pemodelan ancaman: satu rapat untuk menyinkronkan proses dan membahas diagram, dan kemudian rapat kedua untuk tinjauan ancaman dan sign-off.
Dalam pertemuan pertama, Ashish menghabiskan 10 menit memandu semua orang dalam proses pemodelan ancaman SDL. Ia kemudian menarik diagram model ancaman dan mulai menjelaskannya secara rinci. Dalam lima menit, komponen penting yang hilang telah diidentifikasi.
Beberapa menit kemudian, Ashish dan Ricardo terlibat dalam diskusi panjang tentang bagaimana server Web dibangun. Itu bukan cara ideal untuk menjalankan rapat, tetapi semua orang akhirnya setuju bahwa menemukan perbedaan lebih awal akan menghemat waktu mereka di masa depan.
Dalam rapat kedua, tim membahas ancaman, mendiskusikan beberapa cara untuk mengatasinya, dan menyepakati model ancaman. Mereka memeriksa dokumen ke dalam kontrol sumber dan melanjutkan pengembangan.
Memikirkan aset
Beberapa pembaca yang memiliki ancaman dimodelkan mungkin memperhatikan bahwa kami belum berbicara tentang aset sama sekali. Kami menemukan bahwa banyak insinyur perangkat lunak memahami perangkat lunak mereka lebih baik daripada mereka memahami konsep aset dan aset apa yang mungkin diminati penyerang.
Jika Anda akan memodelkan ancaman untuk sebuah rumah, Anda mungkin mulai dengan memikirkan keluarga Anda, foto yang tak tergantikan, atau karya seni yang berharga. Mungkin Anda mulai dengan berpikir tentang siapa yang mungkin menerobos masuk dan sistem keamanan yang ada saat ini. Atau Anda mungkin mulai dengan mempertimbangkan fitur fisik, seperti kolam renang atau teras depan. Hal-hal tersebut dianalogikan untuk berpikir tentang aset, penyerang, atau desain perangkat lunak. Salah satu dari ketiga pendekatan ini dapat digunakan.
Pendekatan pemodelan ancaman yang kami sajikan di sini jauh lebih sederhana daripada apa yang telah dilakukan Microsoft di masa lalu. Kami menemukan bahwa pendekatan desain perangkat lunak bekerja dengan baik untuk banyak tim. Kami berharap itu termasuk tim Anda.
Langkah berikutnya
Kirim pertanyaan, komentar, dan kekhawatiran Anda ke tmtextsupport@microsoft.com. Unduh Alat Pemodelan Ancaman untuk memulai.