Uygulama tehdit analizi
Aşağıda bazı en iyi uygulamalar verilmiştir:
- Sonuçların ilgilenen takımlara iletilendiğini doğrulayın.
- Güvenlik açıklarını önceliklendirin ve en önemli çözümü zamanında düzeltir.
- tehdit modelleme raporunu bir izleme aracına Upload. Geliştiriciler tarafından doğrulanabilen ve değinilecek iş öğeleri oluşturun. Cyber güvenlik ekipleri, bir sızma testi sırasında saldırı vektörlerini belirlemek için raporu da kullanabilir.
- Uygulamaya yeni özellikler eklendikçe, tehdit modeli raporunu güncelleştirip kod yönetimi işlemiyle tümleştirin. Önem derecesine bağlı olarak, güvenlik sorunlarını sonraki yayın döngüsüne veya daha hızlı bir sürüme önceliklendirin.
Risk azaltma stratejileri hakkında daha fazla bilgi için bkz. Ppidadttack.
Genellikle üretime bir güvenlik düzeltmesinin dağıtılması ne kadar sürer?
Bir güvenlik açığı bulunursa, yazılım düzeltme ile mümkün olan en kısa sürede güncelleştirin. İşlemi, araçları ve onayları, çözümü hızla kullanıma almak için hazır.
Daha fazla bilgi edinin
Sonraki adımlar
Tehditleri, saldırıları, güvenlik açıklarını ve sayaç ölçümlerini belirlemek için kapsamlı bir analiz yapın. Bu bilgilerin olması, sistem tarafından ortaya çıkabilir olan uygulama ve tehditleri koruyabilir. Olası risklerle ilgili Öngörüler elde etmek için basit sorularla başlayın. Ardından, tehdit modellemesi kullanılarak Gelişmiş tekniklerin ilerlemesini sağlar.
1-temel güvenlik denetimleri hakkında bilgi toplama
Tehdit modelleme Aracı, tanımlanan tüm tehditlerin bir raporunu oluşturur. Bu rapor genellikle bir izleme aracına yüklenir veya geliştiriciler tarafından doğrulanabilen ve giderilebileceğiniz iş öğelerine dönüştürülür. Çözüme yeni özellikler eklendikçe, tehdit modelinin kod yönetimi işlemiyle güncelleştirilmeleri ve tümleşik olması gerekir. Bir güvenlik sorunu bulunursa, sorun önem derecesini önceliklendirme ve ne zaman ve nasıl düzeltileceğine (bir sonraki yayın döngüsünün veya daha hızlı bir sürüm gibi) belirleme işlemi yapılmalıdır.
Uygulamanın her bileşeni hakkında bilgi toplaarak başlayın. Bu soruların yanıtları, temel korumanın boşluklarını belirler ve saldırı vektörlerini açıklığa kavuşturacaktır.
| Bu soruyu sorun... | Denetleyen denetimleri belirleme... |
|---|---|
Azure AD, TLS (karşılıklı kimlik doğrulaması ile) veya güvenlik ekibi tarafından onaylanan başka bir modern güvenlik protokolü kullanılarak kimlik doğrulaması yapılmış mı?
|
Uygulama bileşenine ve verilerine yetkisiz erişimi engelleyin. |
| Yalnızca uygulamadaki verileri yazma veya değiştirme ihtiyacı olan hesaplara erişimi sınırlandırırsınız | Yetkisiz verilerin değiştirilmesini veya değiştirilmesini engelleyin. |
| Uygulama etkinliği, Azure Izleyici veya benzer bir çözüm aracılığıyla bir güvenlik bilgilerine ve olay yönetimine (SıEM) kaydedilir ve bu uygulamaya gönderilir mi? | Saldırıları hızla algılayıp araştırın. |
| Güvenlik ekibi tarafından onaylanan şifrelemeyle korunan kritik veriler mi? | Bekleyen verilerin yetkisiz olarak kopyalanmasını engelleyin. |
| Gelen ve giden ağ trafiği TLS kullanılarak şifrelendi mi? | Geçiş sırasında verilerin yetkisiz olarak kopyalanmasını engelleyin. |
| Uygulama, Azure DDoS koruması gibi hizmetleri kullanarak dağıtılmış hizmet reddi (DDoS) saldırılarına karşı korunuyor mu? | Uygulamanın kullanılabilmesi için, uygulamayı aşırı yüklemek üzere tasarlanan saldırıları tespit edin. |
| Uygulama diğer uygulamalara, veritabanlarına veya hizmetlere erişmek için oturum açma kimlik bilgilerini veya anahtarlarını depolar mi? | Bir saldırının, diğer sistemlere saldırmak için uygulamanızı kullanıp kullanamayacağını belirler. |
| Uygulama denetimleri, mevzuat gereksinimlerini karşılamanız için izin veriyor mu? | Kullanıcının özel verilerini koruyun ve uyumluluk fines 'yi önleyin. |
Önerilen Eylemler
Tehdit modelleme sırasında tanımlanan belirli bir riskten sorumlu kişilere yönelik görevler atayın.
Daha fazla bilgi edinin
2-uygulama tasarımını aşamalı olarak değerlendirin
Uygulama bileşenlerini ve bağlantılarını ve bunların ilişkilerini çözümleyin. Tehdit modellemesi, güvenlik gereksinimlerinin tanımlanmasını, tehditleri tanımlamayı ve azaltmayı ve bu azaltıcı etkenleri doğrulamayı kapsayan önemli bir mühendislik alýþtýrmadır. Bu teknik, herhangi bir uygulama geliştirme veya üretim aşamasında kullanılabilir, ancak yeni bir işlevin tasarım aşamaları sırasında en etkilidir.
Popüler Yöntemler şunları içerir:
- İlerleme:
- Spoofing (Kimlik Sahtekarlığı)
- Tampering (Kurcalama)
- Repudiation (İnkar)
- Information Disclosure (Bilgilerin Açığa Çıkması)
- Denial of Service (Hizmet Reddi)
- Elevation of Privilege (Ayrıcalık Yükseltme)
Microsoft güvenlik geliştirme yaşam döngüsü, ILERLEMESIYLE bu işleme yardımcı olacak bir araç sağlar. Bu araç ek bir ücret ödemeden kullanılabilir. daha fazla bilgi için bkz. Microsoft Threat Modeling Tool.
- açık Web uygulaması güvenlik Project (owasp) , uygulamalar için bir tehdit modelleme yaklaşımı belgelemiştir.
Güvenli işlemleri kullanarak tehdit modellemesini Otomasyon aracılığıyla tümleştirin. Bazı kaynaklar aşağıda verilmiştir:
- Azure 'da güvenli DevOpsiçin araç seti.
- owasp tarafından DevOps işlem hattı güvenliğine kılavuzluk eder.
3-tanımlanan tehditleri azaltma
Tehdit modelleme Aracı, tanımlanan tüm tehditlerin bir raporunu oluşturur. Olası bir tehdit tanımlandıktan sonra, nasıl algılanacağını ve bu saldırının yanıtını saptayın. İş yükündeki tüm tanımlı güvenlik açıklarına maruz kalma olasılığını en aza indiren bir işlem ve zaman çizelgesi tanımlayın, böylece bu güvenlik açıklarının erişilemez olması gerekir.
Derinlemesine savunma yaklaşımını kullanın. Bu, birincil güvenlik denetimi başarısız olursa riski azaltmak için tasarımda gereken denetimleri belirlemenize yardımcı olabilir. Birincil denetimin başarısız olma olasılığını değerlendirin. Bu, olası kurumsal riskin kapsamını nedir? Ayrıca, ek denetimin verimliliği nedir (özellikle birincil denetimin başarısız olmasına neden olacak durumlarda). Değerlendirme temelinde, güvenlik denetimlerinin olası başarısızlıklarını karşılamak için derinlemesine savunma ölçüleri uygulayın.
En az ayrıcalık ilkesi, derinlemesine savunma kullanmanın bir yoludur. Tek bir hesap tarafından yapılabilecek hasarı kısıtlar. Hesapların bir zaman aralığı içinde gerekli izinlerle gerçekleştiremelerini sağlayan hesaplara en az sayıda ayrıcalık verin. Bu, güvenlik önlemlerini tehlikeye almak amacıyla hesaba erişim sağlayan bir saldırganın hasar olasılığını azaltmaya yardımcı olur.
Kurumsal liderlik ve teknik takımlar arasında genellikle kritik iş yükleri için iş gereksinimleriyle ilgili bir bağlantı kesilmesi vardır. Bu, istenmeyen sonuçlar oluşturabilir ve bilgi güvenliği ile ilgili olduğunda özellikle duyarlıdır. Gereksinimleri tanımlamak üzere yönetim sponsorları ile iş açısından kritik iş yükü gereksinimlerini düzenli olarak gözden geçirmek, beklentileri hizalamaya ve girişim kaynak ayırmayı girişimle sağlamaya yönelik bir fırsat
Tehditler bir kez nasıl karşılanır?