报告预览

威胁建模落地实战-刘夏.pdf

编号：139674

PDF 29页 2.87MB 下载积分：VIP专享

下载报告请您先登录！

威胁建模落地实战-刘夏.pdf

1、威胁建模落地实战刘夏承办方：主办方：个人介绍刘夏ThoughtWorks,Lead Consultant架构师敏捷咨询师安全咨询师培训专家博客：https:/diagrams.today邮件：译著：C#9.0/8.0/7.0 in a NutshellPro.NET PerformanceClean Code in C#Data Visualization with D3 Cookbook威胁建模与 DevSecOpsPlan什么是威胁建模识别威胁保护资产降低风险传统安全模型安全左移模型产品审核安全运营安全需求安全架构威胁建模渗透测试安全编码静态分析动态分析安全培训威胁建模的好处传统安全模型安

2、全左移模型产品审核安全运营安全需求安全架构威胁建模渗透测试安全编码静态分析动态分析安全培训提前识别问题，节约上线前安全审核测试发现问题的修复时间在设计阶段识别安全风险，并将其纳入开发计划。降低系统后期的安全风险和交付风险。尽早与安全团队对技术方案深入讨论，提高设计质量。由于威胁建模的参与人员对项目了解更加充分，因此在讨论方案时也更有针对性。强化产品的安全性，提升市场竞争力安全左移，层层防御。最终都是为了得到更加安全的系统。威胁建模的参与者产品经理/业务分析师开发团队安全团队融合趋势隔阂依然存在但也形成了类似虚拟团队的组织形式威胁建模的总体思路AssetThreatThreat actorVul

3、nerabilities以资产（业务）为切入点以应用为切入点以攻击者为切入点持续的结构化分析过程创建威胁模型架构图识别威胁并确定各个威胁条目的状态针对识别的威胁创建消减措施从整体上准确的描述系统结构；理解系统业务。作为各种分析工作的基础。从攻击者的角度出发，综合分析攻击者可能采取的攻击类型以及对系统可能造成的影响。联合架构图和威胁识别的结果，从防守方的角度考虑应当采取哪些措施消减攻击带来的影响。威胁模型架构图威胁列表消减措施绘制威胁模型架构图威胁模型架构图的目的以全局的视角理解系统面临的安全问题。用于生成威胁列表，辅助后续的分析工作。威胁建模架构图的要求标明建模范围记录业务信息和安全信息分类分

4、层按照业务命名标记高价值资产威胁建模架构图的绘制识别用户和系统范围识别基本组件和外部依赖识别交互方式，识别安全边界回顾总结，标记高价值资产围绕高价值资产按需补充细节威胁建模架构图的绘制识别用户和系统范围识别基本组件和外部依赖识别交互方式识别安全边界标记高价值资产根据资产细化的需要补充细节在画图时一定要及时记录这些记录非常重要。虽然记录不会直接生成威胁，但是它包含了业务上下文，单纯的框图无法让人理解业务。威胁分析人员和审计人员都需要依赖这些信息来了解系统。关注用户如何使用系统威胁建模过程关注高价值资产。而用户使用系统的过程（称为用户旅程）可以完整的展现数据和资产在系统中流动的过程。根据资产需要细

5、化架构图细化架构图的原因是因为资产细化的需要，否则不要细化架构图。时刻注意我们的目的是找到设计中的问题，识别威胁。而不是画一张大而全的技术架构图。总结识别威胁威胁从何而来AssetThreatThreat actorVulnerabilitiesintentexploitaffectThreat actor 的动机每个用户、组件、安全边界、交互中的漏洞梳理威胁列表的方法全面反映各种类型的威胁准确反映威胁的当前状态与“业务上下文”相结合全面列出攻击模式(找缺陷）向团队解释威胁（说明资产和缺陷的关系）确认各个威胁的状态如何选择参考资料抽象模型（STRIDE）细粒度模型（CAPEC）如何向团队解释威

6、胁先从整体上说明系统面临的威胁。说明时首先找到资产，然后围绕资产联系各个环节存在的问题及攻击者的攻击方式进行说明。切忌直接开始一条一条过威胁列表因为威胁的识别离不开资产、缺陷、攻击者之间的联系。系统整体视图可以完善的体现这些联系。否则如果仅仅说某个组件有某个威胁或者漏洞，那么图上的各个组件之间的联系就完全无法发挥作用了。说明时，首先结合业务说明该威胁对当前系统中资产的危害；其次，描述攻击者会通过何种途径侵害系统资产。如果团队有不同意见则一定注意将这些业务记录在威胁列表中。结合使用 STRIDE 与 CAPEC 全面罗列攻击模式CAPEC大而充满细节。但很有可能会遗漏威胁。此时使用更高层次的ST

7、IDE很容易确保方向的正确性。从整体上关联资产与缺陷来说明系统风险应当首先从整体上说明系统风险，这样我们就有了一个大局。尤其建立对资产的关注。不会迷失在众多威胁的细节中。不要直接过威胁列表。判断威胁状态时要记录业务上下文为每一个威胁记录业务上下文。帮助他人从业务上理解威胁状态的由来。辅助后续制定消减措施。总结制定消解措施什么是消解措施当我们在威胁建模中识别出威胁后，针对系统架构中存在的缺陷/漏洞，需要进行重新设计或弥补重新设计或弥补，有时也存在必要的妥必要的妥协协机制，这些新增的安全控制安全控制、预防机制预防机制或处理规范处理规范都可以作为消解措施被记录下来，作为后续产品开发、运营工作的指导。

8、常见的消解措施修复缺陷修复识别出的缺陷安全控制在设计中添加安全控制，降低威胁发生的可能性转移/替换将部分处理威胁的责任转移到第三方系统中变更需求变更需求以彻底规避威胁监控/审计对威胁影响的资产进行监控，以便及时发现风险行为，或进行事后追溯预防措施安全事件发生前，准备足够的应急策略，响应机制和对策接纳/妥协（需经批准）接纳威胁，或通过条款声明规避风险（注意法律相关问题请咨询法务团队）。复杂场景的消解措施将具体威胁映射为一类或几类威胁，利用威胁对应的安全属性来确定常见的消减措施。这通常用于定制复杂的消解措施。威胁安全属性Spoofing（伪造）Authentication（认证）Tampering

9、（篡改）Integrity（完整性）Repudiation（抵赖）Non-repudiation（不可抵赖性）Information disclosure（信息泄露）Confidentiality（保密性）Denial of Service（拒绝服务）Availability（可用性）Elevation of privilege（权限提升）Authorization（授权）和团队讨论达成一致描述消解措施，并且和团队就消解手段，具体方式与优先级达成一致优先级影响消解措施的实施策略。例如在哪个版本实施。消解手段和验收条件如何实现消解措施。要结合业务一起考虑。总结消解措施有多种形式，请根据业务实际灵

10、活选择请灵活在修复缺陷、安全控制、转移/替换、变更需求、监控/审计、预防措施、接纳/妥协之间选择。注意，消解措施不是法律建议！如果和法律条款相关请一定咨询法务。一定要和团队达成一致。避免消解措施破坏业务消解措施和业务是相关的。不能简单的一刀切。否则可能造成业务规则的破坏。业务若破坏了，那么系统的价值也就遭到了破坏。消解措施的三大思路：企业规范、现有消解库、安全属性在制定消解措施时一定要首先确认企业规范中是否已经存在了相应的安全措施。其次，可以利用 CAPEC 中现有的消解库作为参考。此外，对于具体的业务，可以使用 STRIDE 对应的安全原则定制消解措施。创建威胁模型架构图识别威胁并确定各个威胁条目的状态针对识别的威胁创建消减措施威胁建模落地总结产品审核安全运营安全需求安全架构威胁建模渗透测试安全编码静态分析动态分析安全培训威胁建模落地总结PlanThanks感谢聆听承办方：主办方：

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（威胁建模落地实战-刘夏.pdf）为本站（2200）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。

上海品茶

威胁建模落地实战-刘夏.pdf

威胁建模落地实战-刘夏.pdf