威胁建模学习笔记1

最新推荐文章于 2024-08-14 08:30:00 发布
最新推荐文章于 2024-08-14 08:30:00 发布
阅读量3.3k 收藏 5
点赞数
分类专栏: 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huamixu/article/details/23912963
版权
本文介绍了威胁建模在系统设计中的重要性,探讨了威胁的分类,特别是网络、主机和应用层面的威胁。通过定义威胁建模的概念,强调其在开发过程中用于量化和定位威胁的作用。文章进一步阐述威胁建模的本质,指出虽然无法确保设计绝对安全,但能从以往经验中学习,减少重复错误。最后,文章引入STRIDE方法,用于保障系统的机密性、完整性、可用性、身份验证、授权和认可等五大安全属性。
摘要由CSDN通过智能技术生成

前言:构建新系统与更新老系统,设计与实施要考虑防御入侵的手段,威胁建模是种手段.

威胁的分类:来自网络,来自主机,来自应用。

威胁建模的定义:结构化标识、定量、定位威胁的方法,是开发过程的一部分。


设计安全软件的其中一个问题在于,不同的团体考虑安全性的方式不一样。软件开发人员认为安全性好坏主要取决于代码质量,而网络管理员考虑的是防火墙、事件响应和系统管理。学术界大多数人可能按经典的  Saltzer   Schroeder  设计原则、安全性模型或其他抽象概念来看待安全性。当然,所有这些对于构建安全的系统都是非常重要的

威胁建模的本质:1.至今还没有任何已确定有效的方法来衡量威胁模型的质量,2.我们无法证明给定的设计是安全的,但我们可以从自己的错误中汲取教训并避免重复犯同样的错误


二、用STRIDE进行威胁建模,保证系统的5大安全属性。


最低0.47元/天 解锁文章
u014506527
关注
专栏目录
物联网渗透测试威胁建模,捕捉应用相关安全风险
jiweianquan的博客
07-29 480
如今,信息技术突飞猛进,对政治、经济、社会、文化、军事等很多领域都产生了深刻影响。互联网技术更是融入到生活的各方各面,早已改变人们生活方式。同时,网络攻击也在日益增加,安全防护始终是网络安全防护的一个痛点。近年来,网络攻击亦成为最火爆的网络安全话题之一。 那WEB渗透与IOT渗透的区别又有那些呢? 常规WEB渗透测试主要分为四个阶段,即信息收集、漏洞分析、 漏洞挖掘和报告形成。 1、 信息收集 信息收集是初始阶段但尤为关键的环节,渗透测试是否能够成功执行,很大程度上取决于从其所依赖三层结构中探...
STRIDE威胁建模
dl71181的博客
09-09 1万+
一、什么是威胁建模 简单的来说,威胁建模就是通过结构化的方法,系统的识别、评估产品的安全风险和威胁,并针对这些风险、威胁制定消减措施的一个过程。 威胁建模是一个非常有用的工具,它的核心是“像攻击者一样思考”。威胁建模可以在产品设计阶段、架构评审阶段或者产品运行时开展,强迫我们站在攻击者的角度去评估产品的安全性,分析产品中每个组件是否可能被篡改、仿冒,是否可能会造成信息泄露、拒绝攻...
SSH:加密安全访问网络的革命性协议
最新发布
Karka_的博客
08-14 1897
在现代信息化的世界中,数据传输和网络连接的安全性是至关重要的。SSH(SecureShell)协议作为保障网络通信安全的重要工具,在网络安全领域扮演着至关重要的角色。本文将深入探讨SSHSSH(SecureShell,安全外壳)是一种网络安全协议,通过加密和认证机制实现安全的访问和文件传输等业务。传统远程登录和文件传输方式,例如Telnet、FTP,使用明文传输数据,存在很多的安全隐患。随着人们对网络安全的重视,这些方式已经慢慢不被接受。
关于威胁建模
小雨的博客
03-08 366
威胁建模 威胁建模是 Microsoft 安全开发生命周期 (SDL) 的核心元素。是一种工程技术,可以使用它来识别可能影响应用的威胁、攻击、漏洞和对策。可以使用威胁建模来塑造应用程序的设计、满足公司的安全目标并降低风险。 五个步骤 定义安全要求。 创建应用流程图。 识别威胁。 消解威胁。 验证。 威胁建模应该是日常开发生命周期的一部分,应该逐步完善威胁模型并进一步降低风险 ...
实践之后,我们来谈谈如何做好威胁建模
Spontaneous_0的博客
02-20 1087
实践之后,我们来谈谈如何做好威胁建模
1DAMA学习笔记-第01-17章按冲刺课标记.pdf
02-06
DAMA学习笔记主要涵盖了一系列关于数据管理的重要章节,这些章节是针对DAMA考试的核心知识点。以下是对各个章节主要内容的详细阐述: 1. **第1章 数据管理**:这部分内容介绍了数据管理的基础概念,包括数据管理的...
渗透测试学习笔记资源
08-19
威胁建模 - 分析目标架构:理解目标的网络结构、操作系统、应用程序等。 - 识别攻击面:确定哪些资产最有可能被攻击。 #### 4. 漏洞扫描与分析 - 使用自动化工具:扫描网络、系统和应用程序寻找已知漏洞。 - 手动...
1.PMP(第七版)-学习笔记
weixin_44273866的博客
07-05 749
PMP第七版学习笔记
软考项目管理师学习笔记
11-08
软考项目管理师学习笔记涉及的IT知识点非常广泛,从项目管理基础知识到信息系统安全、法律法规等均有覆盖。以下详细说明各个知识点: 1. 信息系统项目管理基础 信息系统项目管理基础部分主要介绍了项目的一般概念、...
威胁建模-STRIDE.pptx
12-29
STRIDE 模型介绍
图论及安全威胁建模
04-30
图论 WEB安全 威胁建模
基于威胁建模安全设计工具
05-31
用于完成安全需求分析报告中的威胁建模,通过威胁建模来进行安全设计
威胁建模:设计和交付更安全的软件》——3.11 小结
weixin_33835103的博客
07-03 137
本节书摘来自华章计算机《威胁建模:设计和交付更安全的软件》一书中的第3章,第3.11节,作者:[美] 亚当·斯塔克 更多章节内容可以访问云栖社区“华章计算机”公众号查看。 3.11 小结 对所有技术系统来说,STRIDE方法都有助于寻找威胁。能让这种方法更为有帮助的是一整套更为详尽的威胁,威胁表格可为信息安全领域新手提供帮助,或者作为安全专家的参考资料(...
STRIDE 威胁建模:面向安全应用程序开发的威胁分析框架
热门推荐
云上笛暮
05-02 1万+
STRIDE为每一种威胁英文的首写字母,​​​​​​Spoofing欺骗、Tampering篡改、Repudiation否认、Information disclosure信息泄露、Denial of Service拒绝服务、Elevation of privilege特权提升。虽然 STRIDE 威胁建模本身对组织很有用,但它也是一种更广泛意义的威胁分析方法,可为安全团队提供一个实用的框架,用于定义安全要求、创建应用程序图、识别威胁、减轻威胁、并验证威胁已得到缓解。
渗透测试流程(二) 威胁建模、漏洞分析与漏洞利用阶段
ShouYWang的博客
02-17 1053
本篇文章将介绍渗透测试中最为精彩的渗透利用阶段
【SDL实践指南】STRIDE威胁建模
Fly_鹏程万里
03-27 1290
STRIDE威胁建模是由微软提出的一种威胁建模方法,将威胁类型分为Spoofing(仿冒)、Tampering(篡改)、Repudiation(抵赖)、Information Disclosure(信息泄漏)、Denial of Service(拒绝服务)和Elevation of Privilege(权限提升)六种威胁构成,STRIDE威胁模型几乎可以涵盖目前绝大部分安全问题
安全设计 | 安全设计不得马虎!微软STRIDE威胁建模方法让你事半功倍,快速发现应用安全隐患!
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-26 2103
威胁建模是一种有助于保护系统、应用程序、网络和服务的有效技术。威胁建模使用以图形形式演示系统工作方式的数据流关系图。之后,它应用一个框架来帮助你发现和修复安全问题。它可帮助你在开发生命周期的早期确定潜在的威胁和降低风险策略。威胁建模方法由微软的安全工程和通信小组开发。与SDLC的其他部分一样,威胁建模也在不断发展,并将应用于新的环境中。当创建自己的安全代码开发流程时,这种方法可能会很好地作为基线,实际上很多公司都参照了微软的威胁建模方法制定了自己的基线。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值