什么是stride模型

已于 2022-11-30 12:30:49 修改
阅读量9.3k 收藏 23
点赞数 7
分类专栏: Security 文章标签: p2p sql c#
于 2022-03-07 01:48:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quandaquan/article/details/123314731
版权

威胁建模

威胁建模是一个结构化的过程,用于识别和枚举出潜在的威胁(如漏洞或缺乏防御机制的情况),并对安全缓解措施进行优先级排序。威胁建模旨在根据当前的信息系统和威胁状况、最有可能的攻击、方法、动机和目标系统,为防御者和安全团队提供需要的安全控制分析。

威胁建模的重要性

威胁建模帮助分析师识别,分类威胁,并为其排列优先级,输出有效的文档。威胁建模报告帮助安全防御和安全运维团队保护it资产免于漏洞和威胁

六个常见的威胁建模方法论

STRIDE

STRIDE 是微软开发的用于威胁建模的方法和工具。在开展威胁评级之前,需要识别出威胁。

Spoofing, 欺骗

Tampering, 篡改

Repudiation, 否认

information Disclosure, 信息泄漏

Denial of Service (DoS)拒绝服务

威胁违反了什么如何违反的
sspoofing授权伪装成信任的人或者事物
ttampering完整性修改硬盘上的数据,内存,网络
rrepudiation不可否认性声称对某一行为不负责任
iinformation disclosure保密性给未授权的人提供信息
ddos可用性拒绝或阻碍获得提供服务所需的资源
eelevation of priveilege授权允许未授权的人获得某种权限

消解措施

针对存在的威胁,我们需要提供消减措施来防护这些安全威胁,则消减措施就是在产品设计中要考虑增加的功能点,如下列出各安全威胁对应的消减措施:

威胁

消减措施

仿冒(S)

身份管理、认证(密码认证、单点登录、双因素、证书认证)、会话管理

篡改(T)

完整性校验、访问控制

抵赖(R)

安全管理、安全审计、监控

信息泄露(I)

敏感信息保护、数据加密、访问控制

拒绝服务(D)

负载均衡  防 DDOS

权限提升(E)

授权,最小化

关于如何使用微软威胁建模工具,请参考 

微软威胁建模工具 STRIDE_犬大犬小的博客-CSDN博客

犬大犬小
关注
  • 7
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
STRIDE威胁建模(面向安全应用程序开发的威胁分析框架)
不忘初心,护天下安全!
10-15 1096
STRIDE 威胁模型由Microsoft安全研究人员于 1999 年创建,是一种以开发人员为中心的威胁建模方法,通过此方法可识别可能影响应用程序的威胁、攻击、漏洞,进而设计对应的缓解对策,以降低安全风险并满足公司的安全目标。STRIDE为每一种威胁英文的首写字母,​​​​​​Spoofing欺骗、Tampering篡改、Repudiation否认、Information disclosure信息泄露、Denial of Service拒绝服务、Elevation of privilege特权提升。
STRIDE威胁建模
qq_24899063的博客
03-18 4643
一、什么是威胁建模 简单的来说,威胁建模就是通过结构化的方法,系统的识别、评估产品的安全风险和威胁,并针对这些风险、威胁制定消减措施的一个过程。 威胁建模是一个非常有用的工具,它的核心是“像攻击者一样思考”。威胁建模可以在产品设计阶段、架构评审阶段或者产品运行时开展,强迫我们站在攻击者的角度去评估产品的安全性,分析产品中每个组件是否可能被篡改、仿冒,是否可能会造成信息泄露、拒绝攻击。威胁建模的...
威胁建模-STRIDE.pptx
12-29
STRIDE 模型介绍
Stride模型
wuxiaoying0905的博客
11-23 4993
1.伪装身份(Spoofing identity),对应安全认证 2.篡改数据(Tampering with data),对应数据完整性 3.抵赖(Repudiation),对应不可抵赖性 4.信息泄露(Information disclosure),对应机密性 5.拒绝服务(Denial of service),对应可用性 6.提升权限(Elevation of privilege),...
STRIDE 威胁建模:面向安全应用程序开发的威胁分析框架
云上笛暮
05-02 1万+
STRIDE为每一种威胁英文的首写字母,​​​​​​Spoofing欺骗、Tampering篡改、Repudiation否认、Information disclosure信息泄露、Denial of Service拒绝服务、Elevation of privilege特权提升。虽然 STRIDE 威胁建模本身对组织很有用,但它也是一种更广泛意义的威胁分析方法,可为安全团队提供一个实用的框架,用于定义安全要求、创建应用程序图、识别威胁、减轻威胁、并验证威胁已得到缓解。
安全设计 | 安全设计不得马虎!微软STRIDE威胁建模方法让你事半功倍,快速发现应用安全隐患!
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-26 2064
威胁建模是一种有助于保护系统、应用程序、网络和服务的有效技术。威胁建模使用以图形形式演示系统工作方式的数据流关系图。之后,它应用一个框架来帮助你发现和修复安全问题。它可帮助你在开发生命周期的早期确定潜在的威胁和降低风险策略。威胁建模方法由微软的安全工程和通信小组开发。与SDLC的其他部分一样,威胁建模也在不断发展,并将应用于新的环境中。当创建自己的安全代码开发流程时,这种方法可能会很好地作为基线,实际上很多公司都参照了微软的威胁建模方法制定了自己的基线。
stride 模型
glenshappy的专栏
06-01 5070
1.伪装身份(Spoofing identity),对应安全认证 2.篡改数据(Tampering with data),对应数据完整性 3.抵赖(Repudiation),对应不可抵赖性 4.信息泄露(Information disclosure),对应机密性 5.拒绝服务(Denial of service),对应可用性 6.提升权限(Elevation of privilege),对应授权 ———————————————— 版权声明:本文为CSDN博主「wuxiaoying0905」的原创文章,遵循C
Stride.jl 是 STRIDE 的Julia包装器,这是一种基于知识的蛋白质二级结构分配算法
06-09
- 分子动力学模拟:预测的结构作为初始模型,用于分子动力学模拟,探究蛋白质在不同环境下的构象变化。 总的来说,Stride.jl 作为 STRIDE 算法的 Julia 包,为生物信息学家和计算生物学家提供了一种高效的工具,...
STRIDE威胁安全模型.xlsx
12-30
STRIDE威胁安全模型.xlsx
SDL介绍-STRIDE威胁建模方法.pdf
07-01
STRIDE 威胁模型几乎可以涵盖当前绝大部分安全问题。 STRIDE 威胁建模方法的六类威胁: 1. Spooling(仿冒):攻击者伪装成合法用户或系统,以获取未经授权的访问权限。 2. Tampering(篡改):攻击者对数据或...
微软的STRIDE模型
weixin_30768661的博客
02-21 897
微软的STRIDE模型: https://msdn.microsoft.com/en-us/library/ee823878(v=cs.20).aspx Spoofing identity. An example of identity spoofing is illegally accessing and then using another user's authentication ...
谈谈方法论--微软STRIDE威胁模型
莫慌的博客
02-27 1190
浅谈STRIDE方法论的在实际工作中的应用
文摘:威胁建模(STRIDE方法)
weixin_30822451的博客
03-01 1072
文摘,原文地址:https://msdn.microsoft.com/zh-cn/magazine/cc163519.aspx 威胁建模的本质:尽管通常我们无法证明给定的设计是安全的,但我们可以从自己的错误中汲取教训并避免犯同样的错误。 首先需要知道什么样的设计是“安全的”,安全设计原则: 开放设计——假设攻击者具有源代码和规格。 ...
安全设计原则与Microsoft的STRIDE威胁建模
热门推荐
亿光年
09-16 2万+
很多公司都会强调程序员注意安全问题,很多程序也被要求写代码的时候必须考虑的安全问题。可能很少有程序知道安全属性是什么。更有少数人清楚怎么进行安全编码设计。前段时间闲的时候总结了,分享下 上面的图是安全设计原则,下面的是我们需要安全属性。 知道了安全属性与安全设计原则后,分
STRIDE
懒人博客
12-19 596
STRIDE
【安全测试】安全测试威胁建模设计方法STRIDE
GDYY3721的博客
08-04 541
威胁建模的成果跟工作者自身的知识也有很大的关系,有攻防经验的人比较容易判断威胁的来源和利用场景,如果缺少这方面的认知,可能会发现到处是风险,有些风险的利用场景很少或利用条件非常苛刻,如果一味地强调风险削减措施也会变成有点纸上谈兵的味道,虽然从安全的角度没有错,但从产品交付的整体视角看,安全还是做过头了。总体上看,STRIDE是一个不错的参考视角,即便有丰富攻防经验的人也不能保证自己在面对复杂系统的安全设计时考虑是全面的,而STRIDE则有助于风险识别的覆盖面。STRIDE是这6个维度的单词的首字母的缩写;
ASTRIDE威胁建模-精简版
muser_的博客
07-01 8646
1、概念 威胁建模可以通过结构化的方法,系统的识别、评估产品的安全风险和威胁,并针对这些风险、威胁制定消减措施的一个过程。STRIDE是微软开发的用于威胁建模的工具,或者说是一套方法论。 2、原因 (1) 站在攻击者的角度通过识别威胁,尽可能多的发现产品架构和功能设计中的安全风险 (2) 制定措施消减威胁,规避风险,确保产品的安全性 3、时机 威胁建模应融入企业的软件开发安全生命周期(SDL)中。 (1) 新产品或新功能的设计阶段应开展威胁建模,发现风险、制定消减措施,消减措施是安...
SDL介绍----3、STRIDE威胁建模方法
七天
07-06 8334
STRIDE威胁建模方法
你说的stride是什么
05-31
在卷积神经网络中,stride(步长)是指卷积核每次移动的像素数。当stride为1时,卷积核每次...需要注意的是,stride的大小可以根据具体任务和数据特征进行调整,通常情况下stride的大小会影响模型的精度和计算效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值