В сентябре 2018 г. выпущена общедоступная версия Microsoft Threat Modeling Tool 2018, которую можно свободно скачать. Изменение в механизме доставки позволяет нам отправлять новейшие усовершенствования и исправления клиентам каждый раз при запуске средства, что упрощает обслуживание и использование. В этой статье описан процесс начала работы с использованием подхода моделирования угроз Microsoft SDL и показано, как с помощью этого средства можно разрабатывать модели рисков в качестве основы процесса обеспечения безопасности.
В этой статье используются имеющиеся знания о подходе с использованием моделирования угроз SDL. Краткий обзор см. в статье Threat Modeling Web Applications (Веб-приложения моделирования угроз) и архивированной версии статьи MSDN Uncover Security Flaws Using the STRIDE Approach (Выявление брешей в системе защиты с использованием подхода STRIDE), опубликованной в 2006 г.
Короче говоря, подход подразумевает создание схемы, выявление угроз, их устранение и проверку каждого устранения угроз. Ниже приведена диаграмма, на которой показан этот процесс.
Методика разработки частной модели угроз для информационной системы персональных данных
Запуск процесса моделирования угроз
При запуске средства моделирования угроз вы увидите несколько вещей, как показано на рисунке:
Раздел Threat model (Модель рисков)
Открываются ранее сохраненные модели рисков. Функция Recently Opened Models (Недавно открытые модели) отлично подходит, если необходимо открыть самые последние файлы. При наведении указателя мыши на выделенные модели вы увидите два способа открытия:
- Open From this Computer (Открыть на этом компьютере) — классический способ открытия файла с помощью локального хранилища;
- Open from OneDrive (Открыть в OneDrive) — команды могут использовать папки в OneDrive, чтобы сохранить и совместно использовать свои модели рисков в одном расположении с целью повышения производительности и улучшения совместной работы.
Раздел Template (Шаблон)
| Create New Template (Создать шаблон) | Откроется пустой шаблон для создания модели. При отсутствии обширных знаний о создании шаблонов с нуля мы рекомендуем создавать модели на основе уже имеющихся. |
| Open Template (Открыть шаблон) | Откроются имеющиеся шаблоны, в которые нужно внести изменения. |
Команда разработчиков средства моделирования угроз постоянно работает над тем, чтобы улучшить функциональность и возможности средства. В течение года могут произойти некоторые незначительные изменения, но при всех основных изменениях необходимо переписывать все руководство. Почаще просматривайте его, чтобы быть в курсе последних объявлений.
Новая методика ФСТЭК. Как теперь моделировать угрозы ИБ?
Создание модели
В этом разделе мы понаблюдаем за следующими людьми:
- Кристина (разработчик);
- Рикардо (руководитель программы);
- Ашиш (тестировщик).
Они собираются разработать свою первую модель рисков.
Рикардо: «Привет, Кристина. Я работал над диаграммой модели рисков и хотел убедиться, что мы получили правильные сведения. Поможешь мне просмотреть их?» Кристина: «Конечно. Давай посмотрим». Рикардо открывает средство и предоставляет общий доступ к нему Кристине.
- наш реальный пользователь изображен в виде внешней сущности — квадрата;
- он отправляет команды на наш веб-сервер — круг;
- веб-сервер связывается с базой данных (две параллельные линии).
То, что Рикардо показал Кристине, — это DFD, сокращение для диаграммы потока данных. С помощью средства моделирования угроз пользователи могут указывать границы доверия, обозначенные красными пунктирными линиями, чтобы показать, в каких местах различные сущности находятся под контролем. Например, для проверки подлинности ИТ-администраторам требуется система Active Directory, таким образом она находится за пределами их контроля.
Кристина: «Похоже, это мне подходит. Как насчет угроз?» Рикардо: «Давай покажу».
Анализ угроз
Как только он щелкает аналитический отчет в меню значков (файл с увеличительным стеклом), открывается список созданных угроз, найденных средством моделирования угроз на основе шаблона по умолчанию, в котором используется подход SDL с названием STRIDE (спуфинг, мошенничество, разглашение сведений, отказ, отказ в обслуживании и несанкционированное повышение привилегий). Идея заключается в том, что программное обеспечение подвергается прогнозируемому набору угроз, которые можно найти с помощью этих 6 категорий.
Этот подход имеет сходство с охраной дома, при которой на окна и двери устанавливается механизм блокировки перед добавлением сигнализации или преследованием вора.
Рикардо начинает с выбора первого элемента в списке. Происходит следующее:
Во-первых, улучшается взаимодействие между двумя наборами элементов.
Во-вторых, в окне свойств угроз появляются дополнительные сведения об угрозах.
Созданная угроза помогает ему понять потенциальные изъяны проектирования. Классификация STRIDE дает ему представление о потенциальных векторах атаки, тогда как в дополнительном описании содержатся сведения о том, что именно идет не так, и возможные способы решения проблемы. Он может использовать изменяемые поля для записи примечаний в сведениях об обосновании или изменения порядка приоритета в зависимости от шкалы ошибок его организации.
В шаблонах Azure есть дополнительные сведения, с помощью которых пользователи могут не только выявить проблему, но и узнать способы ее устранения путем добавления описаний примеров и гиперссылок в документации Azure.
В описании содержатся сведения о важности добавления механизма проверки подлинности, чтобы пользователи не подвергались спуфингу, в результате чего выявлена первая угроза, которую необходимо устранить. Через несколько минут разговора с Кристиной они понимают важность применения управления доступом и ролей. Рикардо делает несколько заметок, чтобы убедиться в том, что они реализованы.
Так как Рикардо открыл угрозы в разделе «Раскрытие информации», он понял, что для плана управления доступом необходимы некоторые учетные записи только для чтения для аудита и создания отчетов. Он задался вопросом, будет ли это новая угроза, но устранения рисков были теми же, поэтому он отметил угрозы соответствующим образом. Он также подумал о раскрытии информации и понял, что для лент резервного копирования скоро потребуется шифрование, а это задание для рабочей группы.
Для угроз, неприменимых для разработки из-за имеющихся устранений рисков или гарантий безопасности, можно выбрать значение «Неприменимо» из раскрывающегося списка «Состояние». Есть три варианта: «Не запущено» — выбор по умолчанию, «Требуется исследование» — позволяет отслеживать элементы и Mitigated (Устранено) — после полной отработки.
Отчеты и совместное использование
Как только Рикардо проходит по списку с Кристиной и добавляет важные примечания, исправления и обоснования, изменения приоритета и состояния, он выбирает «Отчеты» -> Create Full Report (Создать полный отчет) -> «Сохранить отчет», чтобы распечатать отчет для себя и коллег и убедиться в реализации надлежащей защиты.
Если вместо этого Рикардо хочет предоставить общий доступ к файлам, он сохраняет их в учетной записи OneDrive своей организации. После этого он может скопировать ссылку на документ и поделиться ею с коллегами.
Собрания на тему моделирования угроз
Когда Рикардо отправил свою модель рисков своей коллеге с использованием OneDrive, Ашиш, тестировщик, был разочарован. Казалось, Рикардо и Кристина упустили довольно много важных моментов, которые легко скомпрометировать. Его скепсис относится и к моделям рисков.
В этом сценарии после того, как Ашиш перехватил модель рисков, он назначил два собрания по моделированию угроз: одно собрание по синхронизации процесса и рассмотрению диаграмм, а затем второе собрание по обзору угроз и выходу.
На первом собрании Ашиш потратил 10 минут на объяснение всем процесса моделирования угроз SDL. Затем он начал подробно объяснять диаграмму модели рисков. В течение пяти минут был выявлен недостающий важный компонент.
Несколькими минутами позже Ашиш и Рикардо начали подробно обсуждать создание веб-сервера. Это не самый лучший вариант продолжения собрания, но все согласились, что обнаружение проблемы на раннем этапе поможет сэкономить время в будущем.
На втором собрании команда рассмотрела угрозы, способы их устранения, а также закончила работу с моделью рисков. Они поместили документ в систему управления версиями и продолжили разработку.
Размышления о ресурсах
Многие читатели, работавшие с моделированием угроз, могут заметить, что мы не затрагивали ресурсы вообще. Мы узнали, что многие разработчики понимают свои программы лучше, чем концепцию ресурсов и ресурсы, в которых злоумышленники могут быть заинтересованы.
Если вы собираетесь создать модель рисков для дома, вы сначала подумаете о своей семье, невосстановимых фотографиях и ценных произведениях искусства. Возможно, вы сначала подумаете о том, кто может забраться в ваш дом, а также об используемой системе безопасности. Или вы можете подумать о физических компонентах, таких как бассейн или крыльцо. Это аналогично размышлению о ресурсах, злоумышленниках или разработке программного обеспечения. Все эти подходы работают.
Продемонстрированный в этой статье подход к моделированию угроз существенно проще, чем подход, который корпорация Майкрософт использовала в прошлом. Мы обнаружили, что подход к разработке программного обеспечения хорошо подходит для многих команд разработчиков. Мы надеемся, что это относится и к вам.
Next Steps
Источник: learn.microsoft.com
Инструмент моделирования угроз Microsoft Новые функции
Microsoft открывает бета-версию своей услуги «Мой телефон» и планирует новые возможности, сказал он во вторник.
Новые функции в Microsoft Lync 2013 — Руководство и рекомендации
Обзор Lync 2013. Он имеет новый внешний вид и намного проще в использовании, что позволяет вам общаться быстро и легко. Теперь начать IM (мгновенное сообщение) или позвонить намного проще. Вы можете начать видеовызов одним щелчком мыши и даже просмотреть предварительный просмотр своего собственного видео в приглашении.
Tryphone: онлайн-инструмент для мобильного моделирования
Tryphone — это хороший онлайн-инструмент для мобильного моделирования, чтобы протестировать мобильный телефон перед покупкой
Источник: ru.joecomp.com
Средства моделирования угроз: обзор существующих решений
Как и обещал публикую заметку с обзором средств моделирования угроз. Сразу надо сказать, что все эти решения врядли имеют свою, вполне конкретную сферу применения. Какие-то применяются в процессе разработки ПО и для других задач неприменимы, какие-то являются внутренними решениями, какие-то ориентированы на отдельные отрасли или вертикали. Универсального решения, да еще и под требования наших регуляторов, пока нет.
Начну я обзор с уже упомянутого мной ранее решения ADTool , которое входит в состав обучающей платформы CybatiWorks . Расшифровывается ADTool как «Attack-Defense Tree Tool» и разработано в университете Люксембурга в рамках проекта ATREES по разработке инструментария по составлению дерева атак и защитных мер.
ADTool, доступный в исходных кодах, может быть использован только как средство автоматизации и визуализации. Никаких библиотек (банков данных) к нему не прилагается. На сайте разработчиков есть несколько готовых моделей угроз.
В 2006-м году стартовал проект Trike , который включает в себя разработку методологии и инструментария для моделирования угроз. Сама методика разрабатывалась еще в 2003-2005-м годах, но оформилась в открытый проект она чуть позже. Реализация Trike доступна в двух вариантах. Первый — обычная табличка в Excel (Mac тоже поддерживается), в которой куча вкладок и опросников, которые надо заполнить для формирования модели угроз.
К таблице прилагается подробная подсказка, ориентированная на разные целевые аудитории — разработчики, тестировщики, архитекторы и т.п. Вторым вариантом реализации является отдельное приложение, написанное на Smalltalk (авторы говорят, что так сложилось исторически). Чтобы запустить его нужно запустить предварительно виртуалку на базе Squeak . В целом, надо признать, что вариант достаточно специфичен; я использовал только первый — более привычные таблицы Excel.
Компания Microsoft является одной из широко рекламирующих свой подход к безопасной разработке компанией и немудрено, что у нее есть и инструмент для моделирования угроз в соответствие с их методикой, неплохой описанной в книге бывшего сотрудника Microsoft Адама Шостака. Прежняя версия этого решения называлась Threat Analysis визуализации диаграммы связей» (mind map), но с ориентацией на процесс идентификации угроз.
В этом облачном решении присутствует своя пополняемая библиотека угроз, своя система генерации отчетов, свой банк защитных мероприятий и множество других фишек, отличающихся в зависимости от тарифного плана.
Кстати ThreatModeler — не единственный, кто придумал использовать идеи MindMap для моделирования угроз. Есть, например, проект ThreatMind , который пытается объединить угрозы и бесплатное решение по созданию диаграмм связей Freemind.
Из российских игроков можно вспомнить продукты, существовавшего ранее НТЦ «Сфера», выпустившего чуть ли не первое в России средство по автоматизации процесса моделирования угроз по документам ФСТЭК, ФСБ и ЦБ. К сожалению данная компания прекратила свое существование — их сайт уже давно не обслуживается, а продукция не обновлялась.
Зато продолжает здравствовать и развиваться другая отечественная компания — R-Vision , которая предлагает одноименную модульную систему обеспечения деятельности службы ИБ. Среди прочих есть у R-Vision и модуль «Риски» ( Risk Manager ), в рамках которого среди прочего есть и подсистема моделирования угроз для всех идентифицированных активов организации. Идентифицируются виды, источники и способы реализации угроз.
Но в чистом виде инструментом для моделирования угроз решение от R-Vision назвать нельзя — данная задача там одна из многих. Собственно как и во многих иных инструментах по моделированию рисков — CRAMM, PTA и т.п.
В качестве заключению хочу вновь повторить, что у каждого из описанного выше инструментов своя область применения и своя задача. Взять их и применить для моделирования угроз по методике ФСТЭК не получится. Однако облегчить жизнь разработчикам, консультантам или архитекторам они могут. А может быть они наведут на мысли о том, каким могло бы быть отечественное решение по моделированию угроз, о котором я писал в прошлой заметке, и которое бы получило «одобрямс» от регулятора.
Хотите знать, как отслеживают ваше движение в интернете? Присоединяйтесь к нашему ТГ каналу и научитесь контролировать свои цифровые следы.
Источник: www.securitylab.ru