Delen via


Aanbevelingen voor bedreigingsanalyse

Is van toepassing op deze aanbeveling voor de controlelijst voor Azure Well-Architected Framework Security:

SE:02 Een veilige ontwikkelingslevenscyclus onderhouden met behulp van een beperkte, meestal geautomatiseerde en controleerbare software-toeleveringsketen. Neem een veilig ontwerp op door bedreigingsmodellering te gebruiken om te beschermen tegen beveiligingsverlagende implementaties.

Verwante handleiding: Aanbevelingen voor het beveiligen van een ontwikkelingslevenscyclus

Een uitgebreide analyse om bedreigingen, aanvallen, beveiligingsproblemen en tegenmaatregelen te identificeren, is cruciaal tijdens de ontwerpfase van een workload. Threat modeling is een technische oefening die het definiëren van beveiligingsvereisten omvat, het identificeren en beperken van bedreigingen en het valideren van deze risicobeperking. U kunt deze techniek gebruiken in elke fase van de ontwikkeling of productie van toepassingen, maar dit is het meest effectief tijdens de ontwerpfasen van nieuwe functionaliteit.

In deze handleiding worden de aanbevelingen beschreven voor het uitvoeren van bedreigingsmodellering, zodat u snel beveiligingsproblemen kunt identificeren en uw beveiligingsbeveiligingen kunt ontwerpen.

Definities 

Term Definitie
Levenscyclus van softwareontwikkeling (SDLC) Een multistage, systematisch proces voor het ontwikkelen van softwaresystemen.
SCHRIJDEN Een door Microsoft gedefinieerde taxonomie voor het categoriseren van typen bedreigingen.
Bedreigingsmodellen Een proces voor het identificeren van potentiële beveiligingsproblemen in de toepassing en het systeem, het beperken van risico's en het valideren van beveiligingscontroles.

Belangrijke ontwerpstrategieën

Threat modeling is een cruciaal proces dat een organisatie moet integreren in zijn SDLC. Threat modeling is niet alleen de taak van een ontwikkelaar. Het is een gedeelde verantwoordelijkheid tussen:

  • Het workloadteam, dat verantwoordelijk is voor de technische aspecten van het systeem.
  • Zakelijke belanghebbenden, die inzicht hebben in de bedrijfsresultaten en een belang hebben in beveiliging.

Er is vaak een verbroken verbinding tussen het leiderschap van de organisatie en technische teams met betrekking tot bedrijfsvereisten voor kritieke workloads. Deze verbinding kan leiden tot ongewenste resultaten, met name voor investeringen in de beveiliging.

Wanneer het workloadteam een bedreigingsmodelleringsoefening uitvoert, moet rekening worden gehouden met zowel zakelijke als technische vereisten. Het workloadteam en de belanghebbenden van het bedrijf moeten akkoord gaan met de beveiligingsspecifieke behoeften van de workload, zodat ze adequate investeringen kunnen doen in de tegenmaatregelen.

De beveiligingsvereisten dienen als richtlijn voor het hele proces van threat modeling. Om een effectieve oefening te maken, moet het workloadteam een beveiligingsmentaliteit hebben en worden getraind in hulpprogramma's voor threat modeling.

Inzicht in het bereik van de oefening

Een duidelijk begrip van het bereik is cruciaal voor effectieve threat modeling. Het helpt bij het richten van inspanningen en resources op de meest kritieke gebieden. Deze strategie omvat het definiëren van de grenzen van het systeem, het inventariseren van de activa die moeten worden beveiligd en inzicht krijgen in het investeringsniveau dat vereist is in beveiligingscontroles.

Informatie verzamelen over elk onderdeel

Een diagram van de workloadarchitectuur is een uitgangspunt voor het verzamelen van informatie, omdat het een visuele weergave van het systeem biedt. Het diagram markeert technische dimensies van het systeem. Het toont bijvoorbeeld gebruikersstromen, hoe gegevens worden verplaatst via het netwerk, gegevensgevoeligheidsniveaus en informatietypen en identiteitstoegangspaden.

Deze gedetailleerde analyse kan vaak inzicht bieden in potentiële beveiligingsproblemen in het ontwerp. Het is belangrijk om inzicht te hebben in de functionaliteit van elk onderdeel en de bijbehorende afhankelijkheden.

De mogelijke bedreigingen evalueren

Analyseer elk onderdeel vanuit een extern perspectief. Hoe eenvoudig kan een aanvaller bijvoorbeeld toegang krijgen tot gevoelige gegevens? Als aanvallers toegang krijgen tot de omgeving, kunnen ze lateraal en mogelijk toegang krijgen tot of zelfs andere resources bewerken? Deze vragen helpen u te begrijpen hoe een aanvaller workloadassets kan misbruiken.

De bedreigingen classificeren met behulp van een branchemethodologie

Een methodologie voor het classificeren van bedreigingen is STRIDE, die door de Microsoft Security Development Lifecycle wordt gebruikt. Het classificeren van bedreigingen helpt u inzicht te hebben in de aard van elke bedreiging en de juiste beveiligingscontroles te gebruiken.

De bedreigingen beperken

Documenteer alle geïdentificeerde bedreigingen. Definieer voor elke bedreiging beveiligingscontroles en de reactie op een aanval als deze besturingselementen mislukken. Definieer een proces en tijdlijn waarmee de blootstelling aan geïdentificeerde beveiligingsproblemen in de workload wordt geminimaliseerd, zodat deze beveiligingsproblemen niet kunnen worden overgelaten.

Gebruik de benadering voor inbreuk aannemen . Het kan helpen bij het identificeren van besturingselementen die nodig zijn in het ontwerp om risico's te beperken als een primair beveiligingsbeheer mislukt. Evalueer hoe waarschijnlijk het is dat het primaire besturingselement mislukt. Als dit mislukt, wat is de mate van het potentiële organisatierisico? Wat is ook de effectiviteit van de compenserende controle? Pas op basis van de evaluatie diepgaande maatregelen toe om potentiële fouten van beveiligingscontroles aan te pakken.

Hier volgt een voorbeeld:

Stel deze vraag Besturingselementen bepalen die...
Zijn verbindingen geverifieerd via Microsoft Entra ID, Transport Layer Security (TLS) met wederzijdse verificatie of een ander modern beveiligingsprotocol dat het beveiligingsteam heeft goedgekeurd:

- Tussen gebruikers en de toepassing?

- Tussen toepassingsonderdelen en -services?
Onbevoegde toegang tot de toepassingsonderdelen en -gegevens voorkomen.
Beperkt u de toegang tot alleen accounts die gegevens in de toepassing moeten schrijven of wijzigen? Voorkomen dat onbevoegde gegevens worden gemanipuleerd of gewijzigd.
Wordt de toepassingsactiviteit geregistreerd en ingevoerd in een SIEM-systeem (Security Information and Event Management) via Azure Monitor of een vergelijkbare oplossing? Snel aanvallen detecteren en onderzoeken.
Worden kritieke gegevens beveiligd met versleuteling die het beveiligingsteam heeft goedgekeurd? Voorkomen dat niet-geautoriseerde kopieën van data-at-rest worden gekopieerd.
Worden binnenkomend en uitgaand netwerkverkeer versleuteld via TLS? Voorkomen dat niet-geautoriseerde kopieën van gegevens worden verzonden.
Is de toepassing beveiligd tegen DDoS-aanvallen (Distributed Denial of Service) via services zoals Azure DDoS Protection? Detecteer aanvallen die zijn ontworpen om de toepassing te overbelasten, zodat deze niet kan worden gebruikt.
Worden aanmeldingsreferenties of sleutels van de toepassing opgeslagen voor toegang tot andere toepassingen, databases of services? Bepaal of een aanval uw toepassing kan gebruiken om andere systemen aan te vallen.
Kunt u met de toepassingsbesturingselementen voldoen aan wettelijke vereisten? Bescherm de persoonlijke gegevens van gebruikers en voorkom nalevingsboeten.

Resultaten van bedreigingsmodellering bijhouden

U wordt ten zeerste aangeraden een hulpprogramma voor threat modeling te gebruiken. Hulpprogramma's kunnen het proces voor het identificeren van bedreigingen automatiseren en een uitgebreid rapport maken van alle geïdentificeerde bedreigingen. Zorg ervoor dat u de resultaten aan alle geïnteresseerde teams communiceert.

Houd de resultaten bij als onderdeel van de achterstand van het workloadteam om verantwoordelijkheid tijdig mogelijk te maken. Wijs taken toe aan personen die verantwoordelijk zijn voor het beperken van een bepaald risico dat bedreigingsmodellering is geïdentificeerd.

Wanneer u nieuwe functies aan de oplossing toevoegt, werkt u het bedreigingsmodel bij en integreert u het in het codebeheerproces. Als u een beveiligingsprobleem vindt, controleert u of er een proces is om het probleem te classificeren op basis van ernst. Het proces helpt u te bepalen wanneer en hoe u het probleem kunt oplossen (bijvoorbeeld in de volgende releasecyclus of in een snellere release).

Bedrijfskritieke workloadvereisten regelmatig controleren

Vergader regelmatig met leidinggevenden om vereisten te definiëren. Deze beoordelingen bieden de mogelijkheid om verwachtingen af te stemmen en de toewijzing van operationele resources aan het initiatief te waarborgen.

Azure-facilitering

De levenscyclus van Microsoft Security Development biedt een hulpprogramma voor bedreigingsmodellering om u te helpen bij het proces voor bedreigingsmodellering. Dit hulpprogramma is gratis beschikbaar. Zie de pagina Threat Modeling voor meer informatie.

Opmerking

Dit voorbeeld is gebaseerd op de IT-omgeving (Information Technology) die is ingesteld in de beveiligingsbasislijn (SE:01). Deze benadering biedt een breed inzicht in het bedreigingslandschap in verschillende IT-scenario's.

Diagram met een voorbeeld van de beveiligingsbasislijn van een organisatie met bedreigingslandschap.

  1. Persona's voor de ontwikkelingslevenscyclus. Er zijn veel persona's betrokken bij een ontwikkelingslevenscyclus, waaronder ontwikkelaars, testers, eindgebruikers en beheerders. Ze kunnen allemaal worden aangetast en uw omgeving in gevaar brengen door middel van beveiligingsproblemen of bedreigingen die opzettelijk zijn gemaakt.

  2. Potentiële aanvallers. Aanvallers beschouwen een breed scala aan hulpprogramma's die eenvoudig kunnen worden gebruikt om op elk gewenst moment te worden gebruikt om uw beveiligingsproblemen te verkennen en een aanval te starten.

  3. Beveiligingsmaatregelen. Als onderdeel van bedreigingsanalyse identificeert u Azure-beveiligingsservices die moeten worden gebruikt om uw oplossing te beveiligen en hoe effectief deze oplossingen zijn.

  4. Logboekverzameling. Logboeken van Azure-resources en sommige on-premises onderdelen kunnen naar Azure Log Analytics worden verzonden, zodat u het gedrag van uw oplossing begrijpt en probeert u initiële beveiligingsproblemen vast te leggen.

  5. Siem-oplossing (Security Information Event Management). Microsoft Sentinel kan zelfs in een vroeg stadium van de oplossing worden toegevoegd, zodat u enkele analysequery's kunt maken om bedreigingen en beveiligingsproblemen te beperken, waarbij wordt gewacht op uw beveiligingsomgeving wanneer u in productie bent.

  6. Microsoft Defender voor Cloud kan enkele beveiligingsaanaanvelingen doen om het beveiligingspostuur te verbeteren.

Open Web Application Security Project (OWASP) heeft een benadering voor bedreigingsmodellering voor toepassingen gedocumenteerd.

Controlelijst voor beveiliging

Raadpleeg de volledige set aanbevelingen.