Krok 2. Przerywanie
W fazie przerywania za pomocą diagramu przepływu danych wyszukiwane są potencjalne zagrożenia dla systemu. Proces używa struktury modelowania zagrożeń, aby ułatwić znalezienie najbardziej typowych zagrożeń i sposobów ich ochrony.
Cele
- Wybór między ochroną systemu a zrozumieniem podejścia ukierunkowanego na atakującego
- Identyfikowanie typowych zagrożeń za pomocą struktury STRIDE
Ważne
Jeśli nie ukończysz tej fazy, nie znajdziesz potencjalnych zagrożeń w systemie, co może prowadzić do przyszłych naruszeń.
Ukierunkowanie podejścia
Zacznij od wybrania, czy chcesz znaleźć sposoby ochrony systemu, czy chcesz zrozumieć wszystko, co możesz na temat osoby atakującej i ich motywów. Oto kilka przykładów:
| Ukierunkowanie | Przykładowe znalezione elementy |
|---|---|
| Zadania systemowe | Znajdujesz problem polegający na istnieniu nieszyfrowanego połączenia między użytkownikiem a systemem. |
| Osoba atakująca | Zdobywasz więcej informacji o mechanizmach, motywach i sposobach zwiększania ochrony punktów wejścia systemu. |
| Asset | Identyfikujesz krytyczne zasoby na podstawie takich elementów, jak obsługa danych niejawnych, i skupiasz się głównie na ochronie tych zasobów. |
Uwaga
Inżynierowie produktów firmy Microsoft głównie koncentrują się na ochronie systemu. Zespoły testowania penetracyjnego koncentrują się na obu elementach.
Wybieranie struktury zagrożeń
Wybierz strukturę ułatwiającą generowanie potencjalnych zagrożeń w systemie. Firma Microsoft tradycyjnie używa metody STRIDE , akronimu dla sześciu głównych kategorii zagrożeń, aby zapewnić obszerną , ale nie wyczerpującą listę zagrożeń.
Ta struktura ułatwia zadanie kilku ważnych pytań dotyczących systemu:
| Zagrożenie | Definicja | Pytanie | Przykład zagrożenia |
|---|---|---|---|
| Spoofing (fałszowanie) | Osoba atakująca udaje kogoś lub coś innego niż jest | Czy obie strony komunikacji są uwierzytelniane? | Wysyłanie z konta, które wydaje się autentyczne, wiadomości e-mail do użytkowników zawierającej złośliwe linki i załączniki w celu przechwycenia ich poświadczeń, danych i dostępu do urządzeń |
| Tampering (manipulowanie) | Osoba atakująca zmienia dane bez autoryzacji | Skąd mogę wiedzieć, czy ktoś nie może zmienić danych w trakcie ich przesyłania, użytkowania lub magazynowania? | Modyfikowanie pamięci dzięki obsłudze słabych wywołań interfejsu API w celu spowodowania awarii i ujawnienia poufnych komunikatów o błędach |
| Repudiation (wypieranie się) | Osoba atakująca twierdzi, że nie wykonała zarzucanej czynności | Czy każda akcja może być powiązana z tożsamością? | Wypieranie się usunięcia rekordów bazy danych |
| Information Disclosure (ujawnienie informacji) | Osoba atakująca widzi dane, które nie powinny być dla niej widoczne | Skąd mogę wiedzieć, czy ktoś nie może zobaczyć danych w trakcie ich przesyłania, użytkowania lub magazynowania? | Uzyskiwanie nieautoryzowanego dostępu do dokumentów i folderów chronionych przez słabe mechanizmy kontroli zabezpieczeń |
| Denial of Service (odmowa usługi) | Osoba atakująca powoduje zamknięcie systemu | Czy w systemie istnieją obszary z ograniczonymi zasobami? | Zalewanie sieci żądaniami |
| Elevation of Privilege (podniesienie uprawnień) | Osoba atakująca ma nieautoryzowany dostęp do danych | Skąd mogę wiedzieć, czy ktoś ma prawo wykonać tę akcję? | Wyodrębnianie danych przez wykorzystanie słabych stron w logice lub pamięci do obsługi danych wejściowych |