SDL安全设计核心原则:
1、Attack Surface Reduction:攻击面最小化
2、Basic Privacy: 基本隐私
3、Least Privilege: 权限最小化
4、Secure Defaults: 默认安全
5、Defense in Depth:纵深防御
6、Threat Modeling:威胁建模
SDL安全设计核心原则
1、攻击面最小化
攻击面是指程序任何能被用户或者其它程序所访问到的部分,这些暴露给用户的地方往往也是最可能被恶意攻击者攻击的地方。
攻击面最小化:即是指尽量减少暴露恶意用户可能发现并试图利用的攻击面数量。软件产品的受攻击面是一个混合体,不仅包括代码、接口、服务,也包括对所有用户提供服务的协议。尤其是那些未被验证或者远程的用户都可以访问到的协议,安全人员在攻击面最小化时首先要对攻击面进行分析,攻击面分析就是枚举所有访问入库、接口、协议一剂可执行代码的过程。
从高层次来说,攻击面分析着重于:
1、降低默认执行的代码量;
2、限制可访问到代码的人员范围;
3、限定可访问到代码的人员身份;
4、降低代码执行所需权限。
常见的攻击面分析技巧如下表:
| Higher Attack Surface | Lower Attack Surface |
|---|---|
| On by default | Off by default |
| Open socket | Close socket |
| UDP | TCP |
| Anonymous access | Authenticated user access |
| Constantly on | On as needed |
| Internet accessible | Local subnet accessible |
攻击面最小化在微软的应用实践示例:
| Windows | RPC需要认证、防火墙默认打开 |
| iis6.0、7.0 | 使用Network service权限运行,默认关闭. |
| Sql server 2005/2008 | xp_cmdshell存储过程默认关闭,默认不开放远程链接 |
| VS2005/2008 | Web server和sql server默认仅本地访问 |
2、基本隐私
用户使用软件时无可避免个人信息被收集、使用甚至分发,企业则有责任和义务建立保护个人信息的保护措施,抵御敌对攻击行为,确保用户基本隐私的安全性。隐私安全是建立可信任应用程序的关键因素。
在软件设计时考虑用户基本隐私的必要性及意义有:
1、履行法律规定和义务;
2、增加客户的信赖;
3、防止堵塞部署。
对于特殊的软件或者全球性的产品,设计人员需要明确软件的行为及针对人群。尤其要考虑当地国家的法律法规,如美国儿童网路隐私保护法COPPA(Children’s Online Privacy Protection Act)等,企业在开发产品、服务时有必要制定明确的隐私准则,对获取、记录用户隐私的相关产品需有明确的要求和指导建议。
例如:
1、只收集程序必须用到的隐私数据,并明确告知用户并征得用户同意;
2、微软对于用户隐私数据如密码、口令等均需要加密存储,最低要求是sha256+salt,对于更高要求的则使用PBKDF2算法加密存储。
3、权限最小化
如果一个应用程序或网站被攻击、破坏,权限最小化机制能够有效的将潜在损害最小化。
常见的权限最小化实践如:
1、普通管理员/系统管理员等角色管理;
2、文件只读权限/文件访问权限等访问控制;
3、进程/服务以所需最小用户权限运行.
在进行软件设计时,安全设计人员可以评估应用程序的行为及功能所需的最低限度权限及访问级别,从而合理分配相应的权限。如果程序特定情况必须要较高级别的权限,也可以考虑特权赋予及释放的机制。即便程序遭到攻击,也可以将损失降到最低。
例如:
1、Windows系统中网络进程、本地服务、用户进程的权限都较低且互相独立,分别为NETWORK SERVICE、LOCAL SERVICE、user权限,只有核心的重要进程实用SYSTEM权限;
2、最新版本的Office程序打开不可信来源的文档时,默认时不可编辑的,同时也是默认不可执行代码的,即使存在缓冲区溢出漏洞,也不会执行shellcode等恶意代码。
4、默认安全
默认安全配置在客户熟悉安全配置选项之前不仅有利于更好的帮助客户掌握安全配置经验,同时也可以确保应用程序初始状态下处于较安全状态。而客户可根据实际使用情况而决定应用程序安全与隐私的等级水平是否降低。
Tips:
例如:
1、在Win7之后的Windows操作系统中,DEP(数据执行保护)默认是开启的。用户可设置选项改变DEP的状态;
2、Win10默认启用安全防护软件Windows Defender,用户可选择关闭。
5、纵深防御
与默认安全一样,纵深防御也是设计安全方案时的重要指导思想。纵深防御包含两层含义:首先,要在各个不同层面、不同方面实施安全方案,避免出现疏漏,不同安全方案之间需要相互配合,构成一个整体;其次,要在正确的地方做正确的事情,即:在解决根本问题的地方实施针对性的安全方案。
纵深防御并不是同一个安全方案要做两遍或多遍,而是要从不同的层面、不同的角度对系统做出整体的解决方案。
1、针对XSS的防护,除了要对用户输入的特殊符号进行过滤,还要区分是否是富文本进而进行相应编码操作,在输入时过滤的同时在输出时也进行过滤操作。
2、即使做了十足的过滤、编码等安全防护,为了更一步确保缓解XSS攻击,Web站点也可以对Cookie启用HTTP-Only属性,确保即使发生XSS攻击,也可以阻止通过脚本访问Cookie的操作。
6、威胁建模
威胁建模是一种分析应用程序威胁的过程和方法。这里的威胁是指恶意用户可能会试图利用以破坏系统,和我们常说的漏洞并不相同。漏洞是一个特定的可以被利用的威胁,如缓冲区溢出、sql注入等。
作为SDL设计阶段的一部分安全活动,威胁建模允许安全设计人员尽在的识别潜在的安全问题并实施相应缓解措施。在设计阶段把潜在的威胁发现有助于威胁的全面和更有效的解决,同时也有助于降低开发和后期维护的成本。
威胁建模的一般流程如下:
1、与系统架构师及设计人员沟通,了解设计详情;
2、使用成熟的威胁建模方法分析当前设计潜在的安全问题;
3、提出安全建议及对潜在威胁的缓解措施;
4、对安全设计进行验证并对整个设计方案进行回顾并再次确认.
参考链接: https://www.microsoft.com/en-us/SDL/
1234
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
