Aanbevelingen voor bedreigingsanalyse
Is van toepassing op deze aanbeveling voor de controlelijst voor beveiliging van Azure Well-Architected Framework:
| SE:02 | Stel een beveiligingsbasislijn op die is afgestemd op nalevingsvereisten, industriestandaarden en platformaanbeveling. Meet regelmatig uw workloadarchitectuur en -bewerkingen op basis van de basislijn om uw beveiligingspostuur in de loop van de tijd te behouden of te verbeteren. |
|---|
Gerelateerde handleiding: Aanbevelingen voor het beveiligen van een ontwikkelingslevenscyclus
Een uitgebreide analyse om bedreigingen, aanvallen, beveiligingsproblemen en tegenmaatregelen te identificeren, is van cruciaal belang tijdens de ontwerpfase van een workload. Threat modeling is een technische oefening die onder andere het definiëren van beveiligingsvereisten omvat, het identificeren en beperken van bedreigingen en het valideren van deze risicobeperkingen. U kunt deze techniek gebruiken in elke fase van de ontwikkeling of productie van toepassingen, maar het meest effectief tijdens de ontwerpfasen van nieuwe functionaliteit.
In deze handleiding worden de aanbevelingen beschreven voor het uitvoeren van threat modeling, zodat u snel beveiligingsproblemen kunt identificeren en uw beveiligingsbeveiliging kunt ontwerpen.
Definities
| Termijn | Definitie |
|---|---|
| Levenscyclus van softwareontwikkeling (SDLC) | Een meertraps, systematisch proces voor het ontwikkelen van softwaresystemen. |
| STRIDE | Een door Microsoft gedefinieerde taxonomie voor het categoriseren van typen bedreigingen. |
| Bedreigingsmodellen | Een proces voor het identificeren van potentiële beveiligingsproblemen in de toepassing en het systeem, het beperken van risico's en het valideren van beveiligingscontroles. |
Belangrijke ontwerpstrategieën
Threat modeling is een cruciaal proces dat een organisatie moet integreren in de SDLC. Bedreigingsmodellering is niet alleen de taak van een ontwikkelaar. Het is een gedeelde verantwoordelijkheid tussen:
- Het workloadteam, dat verantwoordelijk is voor de technische aspecten van het systeem.
- Zakelijke belanghebbenden, die inzicht hebben in de bedrijfsresultaten en een gevestigd belang hebben in beveiliging.
Er is vaak een verbroken verbinding tussen het leiderschap van de organisatie en technische teams met betrekking tot bedrijfsvereisten voor kritieke workloads. Deze verbinding kan leiden tot ongewenste resultaten, met name voor beveiligingsinvesteringen.
Wanneer het workloadteam een bedreigingsmodelleringsoefening uitvoert, moet er rekening worden gehouden met zowel zakelijke als technische vereisten. Het workloadteam en zakelijke belanghebbenden moeten overeenstemming bereiken over beveiligingsspecifieke behoeften van de workload, zodat ze voldoende kunnen investeren in de tegenmaatregelen.
De beveiligingsvereisten dienen als richtlijn voor het hele proces van threat modeling. Om er een effectieve oefening van te maken, moet het workloadteam een beveiligingsmentaliteit hebben en worden getraind in hulpprogramma's voor bedreigingsmodellering.
Inzicht in het bereik van de oefening
Een duidelijk begrip van het bereik is cruciaal voor effectieve threat modeling. Het helpt bij het richten van inspanningen en resources op de meest kritieke gebieden. Deze strategie omvat het definiëren van de grenzen van het systeem, het inventariseren van de activa die moeten worden beveiligd en inzicht krijgen in het investeringsniveau dat is vereist voor beveiligingscontroles.
Informatie verzamelen over elk onderdeel
Een diagram van de workloadarchitectuur is een uitgangspunt voor het verzamelen van informatie, omdat het een visuele weergave van het systeem biedt. In het diagram worden de technische dimensies van het systeem gemarkeerd. U ziet bijvoorbeeld gebruikersstromen, hoe gegevens door het netwerk worden verplaatst, gevoeligheidsniveaus en informatietypen voor gegevens, en identiteitstoegangspaden.
Deze gedetailleerde analyse kan vaak inzicht geven in mogelijke beveiligingsproblemen in het ontwerp. Het is belangrijk om inzicht te hebben in de functionaliteit van elk onderdeel en de bijbehorende afhankelijkheden.
De mogelijke bedreigingen evalueren
Analyseer elk onderdeel vanuit een extern perspectief. Hoe eenvoudig kan een aanvaller bijvoorbeeld toegang krijgen tot gevoelige gegevens? Als aanvallers toegang krijgen tot de omgeving, kunnen ze zich dan lateraal verplaatsen en mogelijk toegang krijgen tot andere resources of zelfs andere resources manipuleren? Deze vragen helpen u te begrijpen hoe een aanvaller workloadassets kan misbruiken.
De bedreigingen classificeren met behulp van een branchemethodologie
Een methodologie voor het classificeren van bedreigingen is STRIDE, die door de Microsoft Security Development Lifecycle wordt gebruikt. Door bedreigingen te classificeren, krijgt u inzicht in de aard van elke bedreiging en kunt u de juiste beveiligingscontroles gebruiken.
De bedreigingen beperken
Documenteer alle geïdentificeerde bedreigingen. Definieer voor elke bedreiging beveiligingscontroles en de reactie op een aanval als deze besturingselementen mislukken. Definieer een proces en tijdlijn die blootstelling aan geïdentificeerde beveiligingsproblemen in de workload minimaliseren, zodat deze beveiligingsproblemen niet onbesproken kunnen blijven.
Gebruik de benadering 'inbreuk aannemen' . Het kan helpen bij het identificeren van besturingselementen die nodig zijn in het ontwerp om risico's te beperken als een primair beveiligingsbeheer mislukt. Evalueer hoe waarschijnlijk het is dat het primaire besturingselement mislukt. Als het mislukt, wat is dan de omvang van het potentiële organisatierisico? Wat is ook de effectiviteit van de compenserende controle? Pas op basis van de evaluatie diepgaande beveiligingsmaatregelen toe om mogelijke fouten van beveiligingscontroles aan te pakken.
Hier volgt een voorbeeld:
| Stel deze vraag | Besturingselementen bepalen die... |
|---|---|
| Worden verbindingen geverifieerd via Microsoft Entra-id, TLS (Transport Layer Security) met wederzijdse verificatie of een ander modern beveiligingsprotocol dat door het beveiligingsteam is goedgekeurd: - Tussen gebruikers en de toepassing? - Tussen toepassingsonderdelen en services? |
Voorkom onbevoegde toegang tot de toepassingsonderdelen en -gegevens. |
| Beperkt u de toegang tot alleen accounts die gegevens in de toepassing moeten schrijven of wijzigen? | Voorkom onrechtmatige manipulatie of wijziging van gegevens. |
| Wordt de toepassingsactiviteit geregistreerd en ingevoerd in een SIEM-systeem (Security Information and Event Management) via Azure Monitor of een vergelijkbare oplossing? | Snel aanvallen detecteren en onderzoeken. |
| Zijn kritieke gegevens beveiligd met versleuteling die door het beveiligingsteam is goedgekeurd? | Onbevoegd kopiëren van data-at-rest voorkomen. |
| Wordt binnenkomend en uitgaand netwerkverkeer versleuteld via TLS? | Onbevoegd kopiëren van gegevens in transit voorkomen. |
| Is de toepassing beveiligd tegen DDoS-aanvallen (Distributed Denial of Service) via services zoals Azure DDoS Protection? | Detecteer aanvallen die zijn ontworpen om de toepassing te overbelasten, zodat deze niet kan worden gebruikt. |
| Slaat de toepassing aanmeldingsreferenties of sleutels op voor toegang tot andere toepassingen, databases of services? | Bepaal of een aanval uw toepassing kan gebruiken om andere systemen aan te vallen. |
| Kunt u met de toepassingsbesturingselementen voldoen aan wettelijke vereisten? | Bescherm de privégegevens van gebruikers en voorkom boetes voor naleving. |
Resultaten van bedreigingsmodellering bijhouden
U wordt ten zeerste aangeraden een hulpprogramma voor threat modeling te gebruiken. Hulpprogramma's kunnen het proces voor het identificeren van bedreigingen automatiseren en een uitgebreid rapport produceren van alle geïdentificeerde bedreigingen. Zorg ervoor dat u de resultaten doordeelt aan alle geïnteresseerde teams.
Volg de resultaten als onderdeel van de achterstand van het workloadteam om tijdig verantwoording af te leggen. Wijs taken toe aan personen die verantwoordelijk zijn voor het beperken van een bepaald risico dat bedreigingsmodellering heeft geïdentificeerd.
Wanneer u nieuwe functies aan de oplossing toevoegt, werkt u het bedreigingsmodel bij en integreert u het in het codebeheerproces. Als u een beveiligingsprobleem vindt, moet u ervoor zorgen dat er een proces is om het probleem te sorteren op basis van ernst. Het proces moet u helpen bepalen wanneer en hoe u het probleem kunt oplossen (bijvoorbeeld in de volgende releasecyclus of in een snellere release).
Regelmatig bedrijfskritieke workloadvereisten controleren
Vergader regelmatig met executive sponsors om vereisten te definiëren. Deze beoordelingen bieden de mogelijkheid om de verwachtingen af te stemmen en ervoor te zorgen dat operationele resources aan het initiatief worden toegewezen.
Azure-facilitering
De Microsoft Security Development Lifecycle biedt een hulpprogramma voor bedreigingsmodellering om te helpen bij het threat modeling-proces. Deze tool is beschikbaar zonder extra kosten. Zie de pagina Threat Modeling (Threat Modeling) voor meer informatie.
Voorbeeld
Dit voorbeeld is gebaseerd op de IT-omgeving (Information Technology) die is vastgesteld in de beveiligingsbasislijn (SE:01). Deze benadering biedt een breed inzicht in het bedreigingslandschap in verschillende IT-scenario's.
Persona's voor ontwikkelingslevenscyclus. Er zijn veel persona's betrokken bij een ontwikkelingslevenscyclus, waaronder ontwikkelaars, testers, eindgebruikers en beheerders. Ze kunnen allemaal zijn gecompromitteerd en uw omgeving in gevaar brengen door beveiligingsproblemen of bedreigingen die opzettelijk zijn gemaakt.
Potentiële aanvallers. Aanvallers overwegen een breed scala aan hulpprogramma's die eenvoudig op elk gewenst moment kunnen worden gebruikt om uw beveiligingsproblemen te verkennen en een aanval te starten.
Beveiligingsmaatregelen. Als onderdeel van bedreigingsanalyse moet u Azure-beveiligingsservices identificeren die moeten worden gebruikt om uw oplossing te beschermen en hoe effectief deze oplossingen zijn.
Logboekverzameling. Logboeken van Azure-resources en sommige on-premises onderdelen kunnen naar Azure Log Analytics worden verzonden, zodat u het gedrag van uw oplossing begrijpt en probeert de eerste beveiligingsproblemen vast te leggen.
Siem-oplossing (Security Information Event Management). Microsoft Sentinel kan zelfs in een vroeg stadium van de oplossing worden toegevoegd, zodat u enkele analysequery's kunt maken om bedreigingen en beveiligingsproblemen te beperken, waarbij wordt geanticipeerd op uw beveiligingsomgeving wanneer u in productie bent.
Microsoft Defender for Cloud kan beveiligingsaanbeveling doen om de beveiligingspostuur te verbeteren.
Verwante koppelingen
Communitykoppelingen
Open Web Application Security Project (OWASP) heeft een bedreigingsmodelleringsbenadering voor toepassingen gedocumenteerd.
Controlelijst voor beveiliging
Raadpleeg de volledige set aanbevelingen.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor