Framework di modellazione delle minacce
Il framework di modellazione delle minacce esamina ogni elemento nel diagramma del flusso dei dati, incluse le interazioni. Consente di individuare potenziali minacce e modi per ridurre o eliminare i rischi.
Categorie di minacce
I tecnici Microsoft individuano i problemi di progettazione della sicurezza usando le sei principali categorie di minaccia nel framework STRIDE:
Categoria | Descrizione |
---|---|
Spoofing | Fingere di essere qualcun altro o qualcos'altro |
Manomissione | Modificare dati senza autorizzazione |
Ripudio | Non assumersi la responsabilità di un'azione intrapresa |
Diffusione di informazioni | Visualizzare dati senza autorizzazione |
Denial of Service | Causare un sovraccarico del sistema |
Elevazione dei privilegi | Ottenere autorizzazioni che non si dovrebbero avere |
Categorie di controllo di sicurezza
Ogni categoria di minaccia è associata a un controllo di sicurezza che consente di ridurre o eliminare i rischi:
Category | Controllo di sicurezza | Descrizione |
---|---|---|
Spoofing | Autenticazione | Stabilisce se l'identità dichiarata è veritiera |
Manomissione | Integrità | Impedisce che i dati vengano modificati in modo dannoso |
Ripudio | Non ripudio | Le azioni vengono associate agli utenti |
Diffusione di informazioni | Riservatezza | I dati sono protetti dalla divulgazione accidentale |
Denial of Service | Disponibilità | Il sistema gestisce tutte le richieste in modo appropriato |
Elevazione dei privilegi | Autorizzazione | L'utente ha le autorizzazioni appropriate per effettuare una richiesta |
Nelle prossime unità verranno esaminate tutte le categorie di minacce.