Poznámka: Tento ukázkový dokument je určený jenom pro ilustraci. Obsah uvedený níže popisuje základní kritéria, která je potřeba vzít v úvahu při vytváření procesů zabezpečení. Nejedná se o vyčerpávající seznam aktivit nebo kritérií a neměl by být považován za takový.
Panel serveru obvykle není vhodný, pokud je interakce uživatele součástí procesu zneužití. Pokud existuje kritická chyba zabezpečení pouze na serverových produktech a využívá se způsobem, který vyžaduje interakci uživatele a vede k ohrožení serveru, může být závažnost snížena z kritického na důležité v souladu s definicí neAT/dat rozsáhlé interakce uživatele prezentované na začátku pivotu závažnosti klienta.
Kritické
Souhrn serveru: Síťové červy nebo nepotřebné případy, kdy je server vlastněn.
Zvýšení oprávnění: Možnost spuštění libovolného kódu nebo získání více oprávnění než oprávnění
Vzdálený anonymní uživatel
Příklady:
Neoprávněný přístup k systému souborů: libovolný zápis do systému souborů
Spuštění libovolného kódu
Injektáž SQL (která umožňuje spuštění kódu)
Všechna porušení přístupu k zápisu (AV), zneužitelná čtení AV nebo celočíselná přetečení ve vzdáleném anonymně volatelném kódu
Důležité
Souhrn serveru: Jiné než výchozí kritické scénáře nebo případy, kdy existují omezení rizik, která můžou pomoct zabránit kritickým scénářům.
Odepření služby: Musí být "snadné zneužít" odesláním malého množství dat nebo jinak rychle indukovaným
Anonymní
Trvalé dos
Příklady:
Odeslání jednoho škodlivého paketu TCP vede k modré obrazovce smrti (BSoD)
Odesílání malého počtu paketů, které způsobují selhání služby
Dočasné doS se zesílením
Příklady:
Odeslání malého počtu paketů, které způsobí, že systém bude po určitou dobu nepoužitelný
Webový server (například SLUŽBA IIS) je po minutu nebo déle
Jeden vzdálený klient, který využívá všechny dostupné prostředky (relace, paměť) na serveru tím, že vytváří relace a udržuje je otevřené.
Ověřeno
Trvalý doS vůči aktivu s vysokou hodnotou
Příklad:
Odeslání malého počtu paketů, které způsobí selhání služby pro vysoce hodnotný prostředek v rolích serveru (certifikátový server, server Kerberos, řadič domény), například když uživatel ověřený doménou může na řadiči domény provést doS.
Zvýšení oprávnění: Možnost spuštění libovolného kódu nebo získání více oprávnění, než je zamýšleno
Vzdálený ověřený uživatel
Místní ověřený uživatel (terminálový server)
Příklady:
Neoprávněný přístup k systému souborů: libovolný zápis do systému souborů
Spuštění libovolného kódu
Všechna zobrazení AV pro zápis, zneužitelná čtení AV nebo celočíselná přetečení v kódu, ke kterým můžou přistupovat vzdálení nebo místní ověření uživatelé, kteří nejsou správci (Správa istrator scénáře nemají obavy o zabezpečení podle definice, ale stále se jedná o problémy se spolehlivostí.)
Zpřístupnění informací (cílené)
Případy, kdy útočník může vyhledat a číst informace odkudkoli v systému, včetně systémových informací, které nebyly zamýšleny nebo navrženy tak, aby byly vystaveny
Příklady:
Zpřístupnění identifikovatelných osobních údajů
Zveřejnění PII (e-mailové adresy, telefonní čísla, informace o platební kartě)
Útočník může shromažďovat PII bez souhlasu uživatele nebo skrytě
Falšování identity
Entita (počítač, server, uživatel, proces) je schopná maskovat jako konkrétní entitu (uživatel nebo počítač) podle svého výběru.
Příklady:
Webový server nesprávně používá ověřování klientských certifikátů (SSL), aby útočník mohl být identifikován jako libovolný uživatel podle svého výběru.
Nový protokol je navržený tak, aby poskytoval vzdálené ověřování klientů, ale v protokolu existuje chyba, která umožňuje, aby se vzdálený uživatel se zlými úmysly byl považován za jiného uživatele podle vlastní volby.
Manipulace
Úprava všech dat s vysokou hodnotou v běžném nebo výchozím scénáři , kdy změny po restartování ovlivněného softwaru potrvají
Trvalá nebo trvalá úprava jakýchkoli uživatelských nebo systémových dat používaných v běžném nebo výchozím scénáři
Příklady:
Úprava datových souborů nebo databází aplikací v běžném nebo výchozím scénáři, například ověřené injektáže SQL
Otrava mezipamětí proxy serveru v běžném nebo výchozím scénáři
Úprava nastavení operačního systému nebo aplikace bez souhlasu uživatele v běžném nebo výchozím scénáři
Funkce zabezpečení: Přerušení nebo obejití všech funkcí zabezpečení, které jsou k dispozici.
Všimněte si, že ohrožení zabezpečení funkce zabezpečení má ve výchozím nastavení hodnocení "Důležité", ale hodnocení může být upraveno na základě dalších aspektů, které jsou popsané na panelu chyb SDL.
Příklady:
Zakázání nebo obejití brány firewall bez informování uživatelů nebo získání souhlasu
Změna konfigurace brány firewall a povolení připojení k jiným procesům
Střední
Odepření služby
Anonymní
Dočasný systém DoS bez amplifikace ve výchozí/běžné instalaci.
Příklad:
Několik vzdálených klientů , kteří využívají všechny dostupné prostředky (relace, paměť) na serveru tím, že navazují relace a udržují je otevřené.
Ověřeno
Trvalé dos
Příklad:
Přihlášený uživatel Exchange může odeslat určitou e-mailovou zprávu a chybové ukončení Exchange Serveru a chyba není způsobená zápisem AV, zneužitelným čtením AV nebo celočíselným přetečením.
Dočasný systém DoS se zesílením ve výchozí/běžné instalaci
Příklad:
Běžný uživatel SQL Serveru spustí uloženou proceduru nainstalovanou některým produktem a několik minut spotřebovává 100 % procesoru.
Zpřístupnění informací (cílené)
Případy, kdy útočník může snadno číst informace o systému z konkrétních míst, včetně systémových informací, které nebyly zamýšleny nebo navrženy tak, aby byly zpřístupněny.
Příklad:
Cílené zpřístupnění anonymních dat
Cílené zveřejnění existence souboru
Cílené zpřístupnění čísla verze souboru
Falšování identity
Entita (počítač, server, uživatel, proces) je schopná maskovat jako jinou náhodnou entitu, kterou nelze konkrétně vybrat.
Příklad:
Klient se správně ověřuje na serveru, ale server vrací relaci od jiného náhodného uživatele, který se stane připojený k serveru najednou.
Manipulace
Trvalé nebo trvalé úpravy jakýchkoli uživatelských nebo systémových dat v určitém scénáři
Příklady:
Úprava datových souborů nebo databází aplikací v konkrétním scénáři
Otrava mezipamětí proxy serveru v konkrétním scénáři
Úprava nastavení operačního systému nebo aplikace bez souhlasu uživatele v konkrétním scénáři
Dočasné úpravy dat v běžném nebo výchozím scénáři, které se po restartování operačního systému, aplikace nebo relace nezachovávají
Záruky zabezpečení:
Zajištění zabezpečení je funkce zabezpečení nebo jiná funkce produktu nebo funkce, kterou zákazníci očekávají, že budou nabízet ochranu zabezpečení. Komunikace měla zprávu (explicitně nebo implicitně), že zákazníci můžou spoléhat na integritu funkce, a proto je to bezpečnostní zárukou. Bulletiny zabezpečení budou vydány na krátkou dobu v rámci záruky zabezpečení, která podkopává závislost nebo důvěru zákazníka.
Příklady:
Procesy spuštěné s normálními oprávněními "uživatel" nemohou získat oprávnění správce, pokud nebyly zadány heslo nebo přihlašovací údaje správce prostřednictvím úmyslně autorizovaných metod.
Internetový JavaScript spuštěný v aplikaci Internet Explorer nemůže ovládat nic, co hostitelský operační systém, pokud uživatel explicitně nezměnil výchozí nastavení zabezpečení.
Nejnižší
Zpřístupnění informací (nesměrované)
Informace o modulu runtime
Příklad:
Nevracení náhodné paměti haldy
Manipulace
Dočasné změny dat v konkrétním scénáři , které se po restartování operačního systému nebo aplikace nezachovají
Klient
Klienta
Rozsáhlá akce uživatele je definována takto:
"Interakce uživatele" může probíhat pouze ve scénáři řízeném klientem.
Normální, jednoduché uživatelské akce, jako je zobrazení náhledu pošty, zobrazení místních složek nebo sdílených složek, nejsou rozsáhlé interakce uživatelů.
"Rozsáhlé" zahrnuje uživatele, kteří ručně přejdou na konkrétní web (například zadáním adresy URL) nebo kliknutím na rozhodnutí typu ano/ne.
"Není rozsáhlé" zahrnuje uživatele, kteří kliknou na e-mailové odkazy.
Kvalifikátor NEAT (platí jenom pro upozornění). Prokazatelně platí, že uživatelské rozhraní je:
Necessary (Musí být uživatel skutečně prezentován s rozhodnutím?)
Explained (Prezentuje uživatelské rozhraní všechny informace, které uživatel potřebuje k tomuto rozhodnutí?)
Actionable (Existuje sada kroků, které můžou uživatelé provést, aby se mohli dobře rozhodovat v neškodných i škodlivých scénářích?)
Tested (bylo upozornění zkontrolováno více lidmi, aby lidé pochopili, jak na upozornění reagovat?)
Objasnění: Všimněte si, že účinek rozsáhlé interakce uživatele není o jednu úroveň nižší závažnosti, ale je a byl to snížení závažnosti za určitých okolností, kdy se fráze rozsáhlé interakce uživatele zobrazuje na panelu chyb. Cílem je pomáhat zákazníkům rozlišovat rychle se šířící a červnitelné útoky od těch, kde, protože uživatel komunikuje, je útok zpomalován. Tento panel chyb neumožňuje snížit úroveň oprávnění nižší než důležitá kvůli interakci uživatele.
Kritické
Souhrn klienta:
Síťové červy nebo nepoužitelné běžné scénáře procházení nebo použití, ve kterých je klient vlastněn bez upozornění nebo výzev.
Zvýšení oprávnění (vzdálené): Možnost spuštění libovolného kódu nebo získání více oprávnění, než je zamýšleno
Příklady:
Neoprávněný přístup k systému souborů: zápis do systému souborů
Provádění libovolného kódu bez rozsáhlé akce uživatele
Všechny zápisy AVs, zneužitelné čtení AV, přetečení zásobníku nebo celé číslo přetečení v kódu, který lze vzdáleně volat (bez rozsáhlé akce uživatele)
Důležité
Souhrn klienta:
Běžné scénáře procházení nebo použití, ve kterých je klient vlastněný s upozorněními nebo výzvami, nebo prostřednictvím rozsáhlých akcí bez výzev. Mějte na paměti, že to nerozlišuje kvalitu/použitelnost výzvy a pravděpodobnost, že uživatel může kliknout na výzvu, ale pouze že existuje výzva některého formuláře.
Zvýšení oprávnění (vzdálené)
Spuštění libovolného kódu s rozsáhlou akcí uživatele
Všechny zápisy AVs, zneužitelné čtení AVs nebo celé číslo přetečení ve vzdáleném volatelném kódu (s rozsáhlou akcí uživatele)
Zvýšení oprávnění (místní)
Místní uživatel s nízkými oprávněními se může zvýšit na jiného uživatele, správce nebo místní systém.
Všechny zápisY AVs, zneužitelné čtení AVs nebo celé číslo přetečení v místním volatelném kódu
Zpřístupnění informací (cílené)
Případy, kdy útočník může vyhledat a číst informace o systému, včetně informací o systému, které nebyly zamýšleny nebo navrženy tak, aby byly vystaveny.
Příklad:
Neoprávněný přístup k systému souborů: čtení ze systému souborů
Systém poškození systému DoS vyžaduje opětovnou instalaci systému a/nebo součástí.
Příklad:
Při návštěvě webové stránky dojde k poškození registru, které způsobí, že počítač není možné ho neschválit.
Drive-by DoS
Kritéria:
Neověřený systém DoS
Výchozí expozice
Žádné výchozí funkce zabezpečení ani omezení rizik hranic (brány firewall)
Žádná interakce uživatele
Žádný audit a trestání stopy
Příklad:
Systém Bluetooth DoS nebo SMS v mobilním telefonu
Falšování identity
Schopnost útočníka prezentovat uživatelské rozhraní, které se liší od uživatelského rozhraní, ale vizuálně identické s uživatelským rozhraním, na které se uživatelé musí spolehnout při rozhodování o platné důvěryhodnosti ve výchozím nebo běžném scénáři. Rozhodnutí o důvěryhodnosti je definováno tak, že uživatel provede akci, která věří, že určité informace prezentuje určitá entita – systém nebo určitý konkrétní místní nebo vzdálený zdroj.
Příklady:
Zobrazení jiné adresy URL v adresní řádku prohlížeče z adresy URL webu, který prohlížeč ve skutečnosti zobrazuje ve výchozím nebo běžném scénáři
Zobrazení okna přes adresní řádek prohlížeče, který vypadá stejně jako adresní řádek, ale zobrazuje falešná data ve výchozím nebo běžném scénáři
Zobrazuje se jiný název souboru v položce "Chcete tento program spustit?" dialogové okno než soubor, který se skutečně načte ve výchozím nebo běžném scénáři
Zobrazení výzvy k přihlášení "falešného" k shromáždění přihlašovacích údajů uživatele nebo účtu
Manipulace
Trvalé změny uživatelských dat nebo dat používaných k rozhodování o důvěryhodnosti v běžném nebo výchozím scénáři, které po restartování operačního systému nebo aplikace potrvají.
Příklady:
Otrava mezipamětí webového prohlížeče
Úprava významných nastavení operačního systému nebo aplikace bez souhlasu uživatele
Úprava uživatelských dat
Funkce zabezpečení: Přerušení nebo obejití jakékoli poskytované funkce zabezpečení
Příklady:
Zakázání nebo obejití brány firewall s informací o uživateli nebo získání souhlasu
Změna konfigurace brány firewall a povolení připojení k jiným procesům
Použití slabého šifrování nebo uchovávání klíčů uložených ve formátu prostého textu
Kontrola obejití AccessChecku
Obejití bitlockeru; Například nešifrování části jednotky
Obejít syskey, způsob, jak dekódovat syskey bez hesla
Střední
Odepření služby
Trvalý systém DoS vyžaduje studené restartování nebo způsobuje modrou obrazovku nebo kontrolu chyb.
Příklad:
Otevření wordového dokumentu způsobí, že počítač překontroluje modrou obrazovku nebo chybu.
Zpřístupnění informací (cílené)
Případy, kdy útočník může číst informace o systému ze známých umístění, včetně systémových informací, které nebyly zamýšleny nebo navrženy k jejich zveřejnění.
Příklady:
Cílová existence souboru
Číslo verze cílového souboru
Falšování identity
Schopnost útočníka prezentovat uživatelské rozhraní, které se liší od uživatelského rozhraní, ale vizuálně identické s uživatelským rozhraním, na které jsou uživatelé zvyklí v konkrétním scénáři důvěřovat. "Zvyklý na důvěryhodnost" je definován jako cokoli, co uživatel běžně znát na základě normální interakce s operačním systémem nebo aplikací, ale obvykle se nepovažuje za "rozhodnutí důvěryhodnosti".
Příklady:
Otrava mezipamětí webového prohlížeče
Úprava významných nastavení operačního systému nebo aplikace bez souhlasu uživatele
Úprava uživatelských dat
Nejnižší
Odepření služby
Dočasný systém DoS vyžaduje restartování aplikace.
Příklad:
Otevření dokumentu HTML způsobí chybové ukončení Internet Exploreru
Falšování identity
Schopnost útočníka prezentovat uživatelské rozhraní, které se liší od uživatelského rozhraní, ale vizuálně identické s uživatelským rozhraním , které je jedinou součástí většího scénáře útoku.
Příklad:
Uživatel musí přejít na "škodlivý" web, kliknout na tlačítko v dialogovém okně falšování identity a pak je náchylný k ohrožení zabezpečení na základě jiné chyby prohlížeče.
Manipulace
Dočasná úprava všech dat, která se po restartování operačního systému nebo aplikace nezachovávají.
Zpřístupnění informací (nesměrované)
Příklad:
Nevracení náhodné paměti haldy
Definice termínů
Ověřené
Jakýkoli útok, který musí zahrnovat ověřování sítí. To znamená, že protokolování určitého typu musí být schopné nastat, aby bylo možné útočníka identifikovat.
Anonymní
Jakýkoli útok, který se k dokončení nemusí ověřovat.
klient
Buď software, který běží místně na jednom počítači, nebo software, který přistupuje ke sdíleným prostředkům poskytovaným serverem přes síť.
default/common
Všechny funkce, které jsou aktivní mimo krabici nebo které dosáhnou více než 10 procent uživatelů.
scénář
Všechny funkce, které vyžadují speciální případy přizpůsobení nebo použití, aby bylo možné povolit a dosáhnout méně než 10 procent uživatelů.
Server
Počítač, který je nakonfigurovaný tak, aby spouštěl software, který čeká a splňuje požadavky z klientských procesů spuštěných na jiných počítačích.
Kritická
Ohrožení zabezpečení, které by bylo hodnoceno jako nejvyšší potenciál poškození.
Důležité upozornění
Ohrožení zabezpečení, které by bylo hodnoceno jako významné riziko poškození, ale menší než kritické.
Střední
Ohrožení zabezpečení, které by bylo hodnoceno jako středně závažné riziko poškození, ale méně než Důležité.
Nízké
Ohrožení zabezpečení, které by mělo být hodnoceno jako nízké riziko poškození.
zpřístupnění cílových informací
Možnost úmyslně vybrat požadované informace (cíl).
dočasný dos
Dočasný doS je situace, kdy jsou splněna následující kritéria:
Cíl nemůže provádět normální operace z důvodu útoku.
Odpověď na útok je přibližně stejná velikost jako velikost útoku.
Cíl se krátce po dokončení útoku vrátí na normální úroveň funkčnosti. Pro každý produkt by se měla vyhodnotit přesná definice "krátce".
Server například nereaguje, když útočník neustále odesílá stream paketů přes síť a server se vrátí do normálu několik sekund po zastavení datového proudu paketů.
dočasné doS se zesílením
Dočasný doS se zesílením je situace, kdy jsou splněna následující kritéria:
Cíl nemůže provádět normální operace z důvodu útoku.
Odpověď na útok je větší než velikost útoku.
Cíl se po dokončení útoku vrátí na normální úroveň funkčnosti, ale trvá to nějakou dobu (třeba několik minut).
Pokud například můžete odeslat škodlivý 10 bajtový paket a způsobit odpověď 2048k v síti, tím, že zvětšujete šířku pásma rozšířením našeho úsilí o útok.
trvalý dos
Trvalý systém DoS je takový, který vyžaduje, aby správce spustil, restartoval nebo přeinstaloval všechny nebo části systému. Všechna ohrožení zabezpečení, která automaticky restartuje systém, je také trvalým nástrojem DoS.
Matice odepření služby (server)
Ověřený vs. anonymní útok
Výchozí nebo běžné versus scénář
Dočasný doS vs. trvalý
Rating
Ověřeno
Výchozí nebo běžné
Trvale
Střední
Ověřeno
Výchozí nebo běžné
Dočasné doS se zesílením
Střední
Ověřeno
Výchozí nebo běžné
Dočasné dos
Nejnižší
Ověřeno
Scénář
Trvale
Střední
Ověřeno
Scénář
Dočasné doS se zesílením
Nejnižší
Ověřeno
Scénář
Dočasné dos
Nejnižší
Anonymní
Výchozí nebo běžné
Trvale
Důležité
Anonymní
Výchozí nebo běžné
Dočasné doS se zesílením
Důležité
Anonymní
Výchozí nebo běžné
Dočasné dos
Střední
Anonymní
Scénář
Trvale
Důležité
Anonymní
Scénář
Dočasné doS se zesílením
Důležité
Anonymní
Scénář
Dočasné dos
Nejnižší
Právní omezení obsahu
Tato dokumentace není vyčerpávajícím odkazem na postupy SDL v Microsoftu. Podle vlastního uvážení mohou produktové týmy provádět další záruky (ale nemusí být zdokumentované). V důsledku toho by tento příklad neměl být považován za přesný proces, který microsoft následuje za účelem zabezpečení všech produktů.
Tato dokumentace je poskytována tak, jak je. Informace a zobrazení vyjádřená v tomto dokumentu, včetně adres URL a dalších odkazů na internetové webové stránky, se mohou bez předchozího upozornění změnit. Riziko spojené s jejich použitím nesete vy.
Tato dokumentace neposkytuje žádná právní práva k duševnímu vlastnictví v žádném produktu Společnosti Microsoft. Tento dokument můžete kopírovat a používat pro své interní referenční účely.