Felfältet för SDL-säkerhet (exempel)

  • Artikel
  • 12 minuter för att läsa

I Denial of Service Matrix finns en fullständig matris med server-DoS-scenarier.

Serverfältet är vanligtvis inte lämpligt när användarinteraktion är en del av användningsprocessen. Om ett kritiskt sårbarhet bara finns på serverprodukter och utnyttjas på ett sätt som kräver användarinteraktion och resulterar i en kompromettering av servern kan allvarlighetsgraden minskas från Kritisk till Viktig i enlighet med NEAT/datadefinition för omfattande användarinteraktion som presenteras i början av klientens allvarlighetsgrad.

Server
Kritisk

Serversammanfattning: Nätverksmasker eller ofrånkomliga fall där servern "ägs".

  • Höjd på behörighet: Möjligheten att antingen köra godtycklig kod eller skaffa mer behörighet än behörig

    • Anonym fjärranvändare

      • Exempel:

        • Obehörig åtkomst till filsystem: godtycklig skrivning till filsystemet

        • Körning av godtycklig kod

        • SQL rutor (som tillåter kodkörning)

    • Alla skrivåtkomstfel (AV), sårbarhets-läs-AV eller heltalsöverflöde i kod som kan anropas via fjärr-anonymt
Viktigt

Serversammanfattning: Icke-kritiska scenarier som inte är standard eller fall där åtgärder finns som kan hjälpa dig att förhindra kritiska scenarier.

  • Avsändartjänst: Måste vara "lätt att utnyttja" genom att skicka en liten mängd data eller vara på annat sätt snabbt inskad

    • Anonym

      • Beständiga dos

        • Exempel:

          • Om ett enda skadligt TCP-paket skickas resulterar det i en blåskärm av dödsfall (BSoD)

          • Skicka ett litet antal paket som orsakar fel i tjänsten

      • Tillfälliga dos med amplification

        • Exempel:

          • Skicka ett litet antal paket som gör att systemet inte kan användas under en viss tid

          • En webbserver (t.ex. IIS) håller sig nere i en minut eller längre

          • En enda fjärrklient som använder alla tillgängliga resurser (sessioner, minne) på en server genom att upprätta sessioner och behålla dem öppna

    • Autentiserad

      • Beständiga åtgärder mot en tillgång med höga värden

        • Exempel:

          • Skicka ett litet antal paket som orsakar ett fel i tjänsten för en tillgång med höga värden i serverroller (certifikatserver, Kerberos-server, domänkontrollant), till exempel när en domänautenterad användare kan utföra en DoS på en domänkontrollant

  • Höjd på behörighet: Möjligheten att antingen köra godtycklig kod eller skaffa mer behörighet än vad som är tänkt

    • Fjärrautenterad användare

    • Lokal autentiserad användare (Terminal Server)

      • Exempel:

        • Obehörig åtkomst till filsystem: godtycklig skrivning till filsystemet

        • Körning av godtycklig kod

    • Alla skriv-AVs, sårbarheta läs-AV eller heltal spiller i kod som kan nås av fjärranslutna eller lokala autentiserade användare som inte är administratörer (administratörsscenarier har inga säkerhetsproblem per definition, men är fortfarande tillförlitlighetsproblem.)

  • Informationsinformationen (riktad)

    • Fall där attackerarna kan hitta och läsa information var som helst på systemet, inklusive systeminformation som inte var avsedd eller avsedd att exponeras

      • Exempel:

        • Information som går att identifiera personligen (PII)

          • Avslöjande av PII (e-postadresser, telefonnummer, kreditkortsinformation)

          • Attacker kan samla in PIN-koder utan användarens medgivande eller på covert sätt

  • Förfalskning

    • En entitet (dator, server, användare, process) kan masquerade som en viss enhet (användare eller dator) efter eget val.

      • Exempel:

        • Webbservern använder SSL (Client Certificate Authentication) felaktigt för att tillåta att en attackerare identifieras som valfri användare

        • Nytt protokoll är utformat för att tillhandahålla autentisering med fjärrklienter, men svagheter finns i protokollet som gör att en illvillig fjärranvändare kan ses som en annan användare efter eget val

  • Manipulering

    • Ändring av "högvärdesdata" i ett vanligt scenario eller standardscenario där ändringen kvarstår när du startat om den aktuella programvaran

    • Permanenta eller beständiga ändringar av användar- eller systemdata som används i ett vanligt scenario eller standardscenario

      • Exempel:

        • Ändring av programdatafiler eller -databaser i ett vanligt scenario eller standardscenario, till exempel autentiserad SQL igenkänning

        • Proxycache i ett vanligt scenario eller standardscenario

        • Ändring av OS- eller programinställningar utan användarens medgivande i ett vanligt scenario eller standardscenario

  • Säkerhetsfunktioner: Att bryta eller hoppa över alla säkerhetsfunktioner som tillhandahålls.
    Observera att ett sårbarhetsvärde i en säkerhetsfunktion klassificeras som standard som "Viktigt", men klassificeringen kan justeras baserat på andra överväganden enligt vad som beskrivs i SDL-programfältet.

    • Exempel:

      • Inaktivera eller kringgå en brandvägg utan att informera användarna eller få medgivande

      • Konfigurera om en brandvägg och tillåta anslutningar till andra processer
Måttlig

  • Denial of service

    • Anonym

      • Tillfälliga åtgärder utan amplification i en standard/vanlig installation.

        • Exempel:

          • Flera fjärrklienter som använder alla tillgängliga resurser (sessioner, minne) på en server genom att upprätta sessioner och behålla dem öppna

    • Autentiserad

      • Beständiga dos

        • Exempel:

          • Inloggade Exchange kan skicka ett specifikt e-postmeddelande och krascha på Exchange Server och kraschen beror inte på en skriv-AV, sårbarhetsbar läs-AV eller ett heltals spill

      • Tillfälliga dos med amplification i en standard/vanlig installation

        • Exempel:

          • En SQL Server användare kör en lagrad procedur som installerats av en viss produkt och använder 100 % av CPU:n under några minuter

  • Informationsinformationen (riktad)

    • Fall där attackerarna enkelt kan läsa information på systemet från specifika platser, inklusive systeminformation, som inte var avsedd/ avsedd att exponeras.

      • Exempel:

        • Riktad information om anonyma data

        • Riktad information om att det finns en fil

        • Riktad information om ett filversionsnummer

  • Förfalskning

    • En entitet (dator, server, användare, process) kan masquerades som en annan slumpmässig enhet som inte kan väljas specifikt.

      • Exempel:

        • Klienten autentiseras korrekt till servern, men servern skickar tillbaka en session från en annan slumpmässig användare som råkar vara ansluten till servern samtidigt

  • Manipulering

    • Permanent eller fortlöpande ändring av en användare eller systemdata i ett visst scenario

      • Exempel:

        • Ändring av programdatafiler eller -databaser i ett visst scenario

        • Proxycache som utser en proxyserver i ett visst scenario

        • Ändring av OS-/programinställningar utan användarens medgivande i ett visst scenario

    • Temporär ändring av data i ett vanligt scenario eller standardscenario som inte kvarstår efter omstart av operativsystemet/programmet-/sessionen

  • Säkerhetsgranskningar:

    • En säkerhetsgranskning är antingen en säkerhetsfunktion eller en annan produktfunktion/funktion som kunder förväntar sig att erbjuda säkerhetsskydd. Meddelanden har meddelanden (explicit eller implicit) som kunder kan förlita sig på funktionens integritet, och det är det som gör den till en säkerhetsgranskning. Säkerhetsbulletiner kommer att släppas under en säkerhetsgranskning som underminerar kundens beroende eller förtroende.

      • Exempel:

        • Processer som körs med vanliga "användarbehörigheter" kan inte få administratörsbehörighet såvida inte administratörslösenord/autentiseringsuppgifter har angetts via avsiktligt godkända metoder.

        • Internetbaserad JavaScript som körs i Internet Explorer kan inte styra något värdoperativsystemet såvida inte användaren uttryckligen har ändrat standardsäkerhetsinställningarna.
Låg

  • Informationsinformationen (ej vinad)

    • Körningsinformation

      • Exempel:

        • Läckage av slumpmässigt heapminne

  • Manipulering

    • Temporär ändring av data i ett visst scenario som inte kvarstår efter omstart av operativsystemet/programmet
Omfattande användaråtgärder definieras som:

  • "Användarinteraktion" kan bara ske i klientdrivna scenario.

  • Vanliga, enkla användaråtgärder, t.ex. förhandsgranskning av e-post, visning av lokala mappar eller filresurser, är inte omfattande användarinteraktion.

  • "Omfattande" omfattar att användare manuellt navigerar till en viss webbplats (till exempel att skriva i en URL) eller genom att klicka igenom ett ja/nej-beslut.

  • "Inte omfattande" omfattar användare som klickar via e-postlänkar.

  • NEAT-kvalificerare (gäller endast varningar). Destrustruellt är UX:

    • Necessary (Måste användaren få ett beslut?)

    • Exppted (Innehåller UX all information som användaren behöver för att kunna fatta det här beslutet?)

    • Enctionbar (Finns det en uppsättning steg som användarna kan vidta för att fatta bra beslut i både mål och skadliga scenarier?)

    • Tested (Har varningen granskats av flera personer för att vara säker på att folk förstår hur de ska svara på varningen?)

  • Förtydligande: Observera att effekten av omfattande användarinteraktion inte är en nivåminskning i allvarlighetsgrad, utan har minskat allvarlighetsgraden under vissa omständigheter där frasen omfattande användarinteraktion visas i programfältet. Syftet är att hjälpa kunderna att skilja på snabbspridning och maskbara attacker från dem, där användaren interagerar, men attacken långsammas. Det här programfältet tillåter inte att du minskar ökning av behörigheten under Viktigt på grund av användarnas interaktion.

Klient
Kritisk

Klientsammanfattning:

  • Nätverksmasker eller ofrånkomligt vanliga webb-/användningsscenarier där klienten "ägs" utan varningar eller uppmaningar.

  • Höjd på behörighet (fjärr): Möjligheten att antingen köra godtycklig kod eller skaffa mer behörighet än vad som är tänkt

    • Exempel:

      • Obehörig åtkomst till filsystem: skriva till filsystemet

      • Körning av godtycklig kod utan omfattande användaråtgärder

      • Alla skriver AVs, sårbarhets-läs-AV, stack overflows eller heltals spill i fjärrsamtalsbar kod(utan omfattande användaråtgärder)
Viktigt

Klientsammanfattning:

  • Vanliga webb-/användningsscenarier där klienten "ägs" med varningar eller uppmaningar eller via omfattande åtgärder utan uppmaningar. Observera att detta inte påverkar kvaliteten/användbarheten för en fråga och att sannolikheten för en användare kan klicka igenom uppmaningen, men det är bara att det finns en uppmaning om något formulär.

  • Höjd på behörighet (fjärr)

    • Körning av godtycklig kod med omfattande användaråtgärder

      • Alla skriver AVs, sårbarhets-läs-AV eller heltal spiller över i kod som kan anropas via fjärren(med omfattande användaråtgärd)

  • Ökning av behörighet (lokal)

    • Användare med lokal låg behörighet kan själv höja sig själva till en annan användare, administratör eller lokalt system.

      • All skrivning av AVs, sårbarhets-läs-AVs eller heltal spiller i lokal samtalsbar kod

  • Informationsinformationen (riktad)

    • Fall där attackeraren kan hitta och läsa information på systemet, inklusive systeminformation som inte var avsedd eller avsedd att exponeras.

    • Exempel:

      • Obehörig åtkomst till filsystem: läsa från filsystemet

      • Avslöjande av PII

        • Avslöjande av PII (e-postadresser, telefonnummer)

      • Telefon hemscenarier

  • Denial of service

    • Skadade system DoS kräver ominstallation av system och/eller komponenter.

      • Exempel:

        • Att besöka en webbsida orsakar skada i registret som gör att datorn inte kanstövbar

    • Drive-by DoS

      • Villkor:

        • Un-authenticated System DoS

        • Standard exponering

        • Inga standardsäkerhetsfunktioner eller åtgärder för gränser (brandväggar)

        • Ingen användarinteraktion

        • Ingen granskning och redovisningslogg

        • Exempel:

          • Drive-by Bluetooth system DoS eller SMS i en mobiltelefon

  • Förfalskning

    • Möjligheten för attacker att presentera ett användargränssnitt som skiljer sig från men visuellt identiskt med användargränssnittet som användarna måste förlita sig på för att kunna fatta giltiga förtroendebeslut i ett standard/vanligt scenario. Ett förtroendebeslut definieras när användaren vidtar en åtgärd i så fall på att viss information presenteras av en viss enhet – antingen systemet eller någon specifik lokal eller fjärransluten källa.

      • Exempel:

        • Visa en annan URL i webbläsarens adressfält från url:en för webbplatsen som webbläsaren faktiskt visar i ett standard-/vanligt scenario

        • Visa ett fönster över webbläsarens adressfält som ser likadant ut som ett adressfält men visar data i ett standardscenario/vanligt scenario

        • Ett annat filnamn visas i "Vill du köra det här programmet?" dialogrutan än den för filen som faktiskt ska läsas in i ett standardscenario/vanligt scenario

        • Visa en "falsk" inloggningsfråga för att samla in inloggningsuppgifter för användare eller konton

  • Manipulering

    • Permanent ändring av användardata eller data som används för att fatta förtroendebeslut i ett vanligt scenario eller standardscenario som kvarstår efter omstart av operativsystemet/programmet.

      • Exempel:

        • Cacheminne i webbläsare

        • Ändring av viktiga OS-/programinställningar utan användarens medgivande

        • Ändring av användardata

  • Säkerhetsfunktioner: Att bryta eller hoppa över alla säkerhetsfunktioner som tillhandahålls

    • Exempel:

      • Inaktivera eller kringgå en brandvägg med informera användaren eller få medgivande

      • Konfigurera om en brandvägg och tillåta anslutning till andra processer

      • Använda svag kryptering eller att lagra tangenterna som oformaterad text

      • Förbikoppling av AccessCheck

      • BitLocker-förbikoppling; till exempel inte kryptera en del av enheten

      • Syskey-förbikoppling, ett sätt att avkoda systemnyckeln utan lösenord
Måttlig

  • Denial of service

    • Permanent DoS kräver kall omstart eller orsakar blåskärms-/buggkontroll.

      • Exempel:

        • Om du öppnar ett Word-dokument visas blå skärm/buggkontroll på datorn.

  • Informationsinformationen (riktad)

    • Fall där attackeraren kan läsa information på systemet från kända platser , inklusive systeminformation som inte var avsedd att exponeras.

      • Exempel:

        • Riktad förekomst av fil

        • Versionsnummer för riktad fil

  • Förfalskning

    • Möjligheten för attacker att presentera ett användargränssnitt som skiljer sig från men visuellt identiskt med användargränssnittet som användarna är vana vid i ett visst scenario. "Van vid förtroende" definieras som allt som en användare är bekant med baserat på normal interaktion med operativsystemet eller programmet men tänker vanligtvis inte på som ett "förtroendebeslut".

      • Exempel:

        • Cacheminne i webbläsare

        • Ändring av viktiga OS-/programinställningar utan användarens medgivande

        • Ändring av användardata
Låg

  • Denial of service

    • Tillfälliga doS kräver omstart av programmet.

      • Exempel:

        • Om du öppnar ett HTML-dokument kraschar Internet Explorer

  • Förfalskning

    • Möjligheten för attacker att presentera ett användargränssnitt som skiljer sig från men visuellt identiskt med användargränssnittet som är en enda del av ett större attackscenario.

      • Exempel:

        • Användaren måste gå till en "skadlig" webbplats, klicka på en knapp i en förfalskningsdialogruta och blir sedan känslig för en sårbarhet baserat på en annan bugg i webbläsaren

  • Manipulering

    • Temporär ändring av data som inte finns kvar efter omstart av operativsystemet/programmet.

    • Informationsinformationen (ej vinad)

      • Exempel:

        • Läckage av slumpmässigt heapminne

Definition av villkor

autentiserad
Alla angrepp som måste inkluderas vid autentisering av nätverket. Det här antyder att någon typ av loggning måste kunna göras så att attacker kan identifieras.

anonym
Alla angrepp som inte behöver autentiseras för att slutföras.

klient
Antingen programvara som körs lokalt på en enda dator eller programvara som har åtkomst till delade resurser som tillhandahålls av en server i ett nätverk.

standard/vanligt
Alla funktioner som är aktiva eller som når fler än 10 procent av användarna.

scenario
Funktioner som kräver särskilda anpassningar eller användningsfall för att aktivera och som når mindre än 10 procent av användarna.

server
Dator som är konfigurerad för att köra programvara som väntar och uppfyller begäranden från klientprocesser som körs på andra datorer.

  **Critical.** *A security vulnerability that would be rated as

har störst risk för skada.*

  **Important.** *A security vulnerability that would be rated as

har betydande risk för skada, men mindre än kritisk.*

  **Moderate.** *A security vulnerability that would be rated as

Har måttlig risk för skada, men mindre än Viktigt.*

  **Low.** *A security vulnerability that would be rated as having

låg risk för skada.*

riktad information
Möjlighet att medvetet markera (mål) önskad information.

tillfälliga dos
En tillfällig doS är en situation där följande kriterier uppfylls:

  • Målet kan inte utföra vanliga åtgärder på grund av en attack.

  • Svaret på en attack har ungefär samma storlek som attackens storlek.

  • Målet återgår till den normala funktionalitetsnivån strax efter att attacken är klar. Den exakta definitionen av "inom kort" bör utvärderas för varje produkt.

En server svarar till exempel inte när en attackerare hela tiden skickar en paketström över ett nätverk, och servern återgår till normal några sekunder efter att paketströmmen stoppas.

tillfälliga DoS med amplification

En tillfällig dos med amplification är en situation där följande kriterier uppfylls:

  • Målet kan inte utföra vanliga åtgärder på grund av en attack.

  • Svaret på en attack har en storlek som är större än attackens storlek.

  • Målet återgår till den normala funktionsnivån när attacken är klar, men det tar lite tid (kanske några minuter).

Om du till exempel kan skicka ett skadligt 10-bytepaket och orsakar ett 2048k-svar på nätverket så förstärker du bandbredden genom att förstärker vårt attackarbete.

permanent dos

En permanent doS är en som kräver att en administratör startar om, startar om eller installerar om hela eller delar av systemet. Alla sårbarheter som automatiskt startar om systemet är också en permanent DoS.

Matris för Denial of Service (Server)

Autentiserad jämfört med anonym attack Standard/Vanligt jämfört med scenario Tillfälliga åtgärder jämfört med permanenta Klassificering
Autentiserad Standard/common Permanent Måttlig
Autentiserad Standard/common Tillfälliga dos med amplification Måttlig
Autentiserad Standard/common Tillfälliga åtgärder Låg
Autentiserad Scenario Permanent Måttlig
Autentiserad Scenario Tillfälliga dos med amplification Låg
Autentiserad Scenario Tillfälliga åtgärder Låg
Anonym Standard/common Permanent Viktigt
Anonym Standard/common Tillfälliga dos med amplification Viktigt
Anonym Standard/common Tillfälliga åtgärder Måttlig
Anonym Scenario Permanent Viktigt
Anonym Scenario Tillfälliga dos med amplification Viktigt
Anonym Scenario Tillfälliga åtgärder Låg

Ansvarsfriskrivning för innehåll

Den här dokumentationen är inte en uttömmande referens om Microsofts SDL-metoder. Arbete med ytterligare garantier kan utföras av produktteam (men har inte nödvändigtvis dokumenterats) efter eget gottfinnande. Därför bör inte det här exemplet ses som den exakta process som Microsoft följer för att skydda alla produkter.

Den här dokumentationen tillhandahålls i "som den är". Information och vyer som uttrycks i det här dokumentet, inklusive URL och andra referenser till internetwebbplatser, kan ändras utan föregående meddelande. Du tar risken att använda den.

Den här dokumentationen ger dig inga juridiska rättigheter till immateriell egendom i någon Av Microsoft-produkt. Du får kopiera och använda det här dokumentet för internt användning eller i referenssyfte.

© 2018 Microsoft Corporation. Med ensamrätt.

Licensierad underCreative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported

Obs! Det här exempeldokumentet är endast i illustrationssyfte. Innehållet nedan ger en översikt över grundläggande villkor att ta hänsyn till när du skapar säkerhetsprocesser. Det är inte en uttömmande lista över aktiviteter eller kriterier och bör inte behandlas som sådana.

Se definitionerna av termer i det här avsnittet.

På den här sidan

Server
Klient
Definitioner av villkor