STRIDE (zabezpečení) - STRIDE (security)

STRIDE je model hrozeb vyvinutý Praerit Garg a Loren Kohnfelder v Microsoft^[1] pro identifikaci zabezpečení počítače hrozby.^[2] Poskytuje mnemotechnická pomůcka pro bezpečnostní hrozby v šesti kategoriích.^[3]

Hrozby jsou:

Spoofing
Tzesilovat
Repudiace
Jázveřejnění informací (narušení soukromí nebo únik dat )
Denial of service
Evyvýšení privilegia^[4]

STRIDE byl původně vytvořen jako součást procesu modelování hrozeb. STRIDE je model hrozeb, který slouží jako pomůcka při hledání a hledání hrozeb pro systém. Používá se ve spojení s modelem cílového systému, který lze postavit paralelně. To zahrnuje úplné rozdělení procesů, datových skladů, toků dat a hranic důvěryhodnosti.^[5]

Dnes ji často používají bezpečnostní experti k odpovědi na otázku „co se může pokazit v tomto systému, na kterém pracujeme?“

Každá hrozba je porušením žádoucí vlastnosti systému:

Ohrožení	Požadovaný majetek
Spoofing	Pravost
Manipulace	Integrita
Odmítnutí	Nepopiratelnost
Zveřejnění informací	Důvěrnost
Odmítnutí služby	Dostupnost
Zvýšení oprávnění	Oprávnění

Poznámky k hrozbám

Odmítnutí je neobvyklé, protože je to hrozba při pohledu z bezpečnostního hlediska a žádoucí vlastnost některých systémů ochrany osobních údajů, například Goldbergova “Neoficiálně "systém zasílání zpráv. Toto je užitečná ukázka napětí, s nímž se někdy musí potýkat analýza návrhu zabezpečení."

Zvýšení oprávnění se často nazývá eskalace oprávnění nebo eskalace oprávnění. Jsou synonyma.

Viz také

Útok na strom - další přístup k modelování bezpečnostních hrozeb, vycházející z analýzy závislostí
Kybernetická bezpečnost a protiopatření
DREAD (model hodnocení rizik) - další mnemotechnická pomůcka pro bezpečnostní hrozby
OWASP - organizace věnovaná zlepšování bezpečnosti webových aplikací prostřednictvím vzdělávání
CIA také známý jako AIC - další mnemotechnická pomůcka pro model zabezpečení pro vytváření zabezpečení v systémech IT

Reference

^ Shostack, Adam. ""Ohrožení našich produktů"". Blog společnosti Microsoft SDL. Microsoft. Citováno 18. srpna 2018.
^ Kohnfelder, Loren; Garg, Praerit (1. dubna 1999). „Hrozby pro naše produkty“. Rozhraní Microsoft. Citováno 18. srpna 2018.
^ „STRIDE model ohrožení“. Microsoft. Microsoft.
^ Guzman, Aaron; Gupta, Aditya (2017). Kuchařka pro testování penetrace IoT: Zjistěte chyby zabezpečení a zabezpečte svá inteligentní zařízení. Packt Publishing. str. 34–35. ISBN 978-1-78728-517-0.
^ Shostack (2014). Modelování hrozeb: Návrh pro zabezpečení. Wiley. 61–64. ISBN 978-1118809990.

externí odkazy

Odhalte chyby v návrhu zabezpečení pomocí STRIDE přístupu

Tento počítačová věda článek je a pahýl. Wikipedii můžete pomoci pomocí rozšiřovat to.

[1] Shostack, Adam. ""Ohrožení našich produktů"". Blog společnosti Microsoft SDL. Microsoft. Citováno 18. srpna 2018.

[2] Kohnfelder, Loren; Garg, Praerit (1. dubna 1999). „Hrozby pro naše produkty“. Rozhraní Microsoft. Citováno 18. srpna 2018.

[3] „STRIDE model ohrožení“. Microsoft. Microsoft.

[4] Guzman, Aaron; Gupta, Aditya (2017). Kuchařka pro testování penetrace IoT: Zjistěte chyby zabezpečení a zabezpečte svá inteligentní zařízení. Packt Publishing. str. 34–35. ISBN 978-1-78728-517-0.

[5] Shostack (2014). Modelování hrozeb: Návrh pro zabezpečení. Wiley. 61–64. ISBN 978-1118809990.

[1]

[2]

[3]

[4]

[5]