SDL Güvenlik Hata Çubuğu (Örnek)
Not: Bu örnek belge yalnızca çizim amaçlıdır. Aşağıda sunulan içerik, güvenlik işlemleri oluştururken dikkate alınması gereken temel ölçütleri özetler. Bu, kapsamlı bir etkinlik veya ölçüt listesi değildir ve bu şekilde ele alınmamalıdır.
Lütfen bu bölümdeki terimlerin tanımlarına bakın.
Sunucu
Sunucu |
|
---|---|
Kritik | Sunucu özeti: Sunucunun "sahibi" olduğu ağ solucanları veya kaçınılmaz durumlar.
|
Önemli | Sunucu özeti: Kritik senaryoları önlemeye yardımcı olabilecek varsayılan olmayan kritik senaryolar veya risk azaltmaların mevcut olduğu durumlar.
|
Orta |
|
Düşük |
|
İstemci
Istemci |
Kapsamlı kullanıcı eylemi şu şekilde tanımlanır:
|
---|---|
Kritik | İstemci özeti:
|
Önemli | İstemci özeti:
|
Orta |
|
Düşük |
|
Terimlerin Tanımı
Kimlik doğrulaması
Ağ tarafından kimlik doğrulaması da dahil olmak üzere herhangi bir saldırı. Bu, saldırganın tanımlanabilmesi için bir türdeki günlüğe kaydetme işleminin gerçekleşebilmesi gerektiği anlamına gelir.
Anonim
Tamamlanması için kimlik doğrulaması gerektirmeyen herhangi bir saldırı.
client
Tek bir bilgisayarda yerel olarak çalışan yazılım veya ağ üzerinden bir sunucu tarafından sağlanan paylaşılan kaynaklara erişen yazılım.
varsayılan/ortak
Kullanıma sunulan veya kullanıcıların yüzde 10'undan fazlasına ulaşan tüm özellikler.
senaryo
Kullanıcıların yüzde 10'undan daha azı olan, etkinleştirmek için özel özelleştirme veya kullanım örnekleri gerektiren tüm özellikler.
Sunucu
Diğer bilgisayarlarda çalışan istemci işlemlerinden gelen istekleri bekleyen ve yerine getiren yazılımları çalıştıracak şekilde yapılandırılmış bilgisayar.
Kritik
En yüksek hasar potansiyeline sahip olarak derecelendirilebilecek bir güvenlik açığı.
Önemli
Önemli bir hasar potansiyeline sahip ancak Kritik'ten düşük olarak derecelendirilebilecek bir güvenlik açığı.
Orta
Orta düzeyde hasar potansiyeline sahip ancak Önemli'den düşük olarak derecelendirilebilecek bir güvenlik açığı.
Düşük
Düşük hasar potansiyeline sahip olarak derecelendirilebilecek bir güvenlik açığı.
hedeflenen bilgilerin açığa çıkması
İstenilen bilgileri kasıtlı olarak seçebilme (hedef).
geçici DoS
Geçici DoS, aşağıdaki ölçütlerin karşılandığı bir durumdur:
Hedef, bir saldırı nedeniyle normal işlemler gerçekleştiremiyor.
Bir saldırının yanıtı kabaca saldırının boyutuyla aynıdır.
Hedef, saldırı tamamlandıktan kısa bir süre sonra normal işlevsellik düzeyine döner. Her ürün için tam olarak "kısa süre" tanımı değerlendirilmelidir.
Örneğin, bir saldırgan sürekli olarak bir ağ üzerinden paket akışı gönderirken sunucu yanıt vermiyor ve sunucu paket akışı durduktan birkaç saniye sonra normale dönüyor.
amplification ile geçici DoS
Amplifikasyonlu geçici bir DoS, aşağıdaki ölçütlerin karşılandığı bir durumdur:
Hedef, bir saldırı nedeniyle normal işlemler gerçekleştiremiyor.
Bir saldırının yanıtı, saldırının boyutunun ötesinde büyük bir boyuta sahiptir.
Hedef, saldırı tamamlandıktan sonra normal işlevsellik düzeyine döner, ancak biraz zaman alır (belki de birkaç dakika).
Örneğin, kötü amaçlı bir 10 baytlık paket gönderebiliyorsanız ve ağda 2048k yanıtına neden oluyorsanız, saldırı çabamızı genişleterek bant genişliğini doSing yaparsınız.
kalıcı DoS
Kalıcı Bir DoS, yöneticinin sistemin tüm bölümlerini veya bölümlerini başlatmasını, yeniden başlatmasını veya yeniden yüklemesini gerektiren bir işlemdir. Sistemi otomatik olarak yeniden başlatan tüm güvenlik açıkları da kalıcı bir DoS'tır.
Hizmet Reddi (Sunucu) Matrisi
Kimliği doğrulanmış ve Anonim saldırı karşılaştırması | Varsayılan/Ortak ve Senaryo karşılaştırması | Geçici DoS ile Kalıcı Karşılaştırma | Derecelendirme |
---|---|---|---|
Kimliği doğrulandı | Varsayılan/Ortak | Kalıcı | Orta |
Kimliği doğrulandı | Varsayılan/Ortak | Amplifikasyonlu Geçici DoS | Orta |
Kimliği doğrulandı | Varsayılan/Ortak | Geçici DoS | Düşük |
Kimliği doğrulandı | Senaryo | Kalıcı | Orta |
Kimliği doğrulandı | Senaryo | Amplifikasyonlu Geçici DoS | Düşük |
Kimliği doğrulandı | Senaryo | Geçici DoS | Düşük |
Anonim | Varsayılan/Ortak | Kalıcı | Önemli |
Anonim | Varsayılan/Ortak | Amplifikasyonlu Geçici DoS | Önemli |
Anonim | Varsayılan/Ortak | Geçici DoS | Orta |
Anonim | Senaryo | Kalıcı | Önemli |
Anonim | Senaryo | Amplifikasyonlu Geçici DoS | Önemli |
Anonim | Senaryo | Geçici DoS | Düşük |
İçerik Bildirimi
Bu belgeler, Microsoft'taki SDL uygulamalarında kapsamlı bir başvuru değildir. Ek güvence çalışmaları, ürün ekipleri tarafından kendi takdirlerine bağlı olarak gerçekleştirilebilir (ancak belgelenmeleri şart değildir). Sonuç olarak, bu örnek Microsoft'un tüm ürünlerin güvenliğini sağlamak için izlediği tam süreç olarak düşünülmemelidir. Bu belgeler "olduğu gibi" sağlanır. URL ve diğer İnternet web sitesi başvuruları dahil olmak üzere bu belgede ifade edilen bilgiler ve görünümler bildirimde bulunmadan değişebilir. Kullanım riski size aittir. Bu belgeler, herhangi bir Microsoft ürünündeki fikri mülkiyet haklarına yönelik herhangi bir yasal hak sağlamaz. Kendinize özgü başvuru amaçlarıyla bu belgeyi kopyalayıp kullanabilirsiniz. © 2018 Microsoft Corporation. Tüm hakları saklıdır. Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported altındalisanslanır |