【STRIDE】【2】安全威胁分析设计

最新推荐文章于 2024-05-26 07:55:37 发布
最新推荐文章于 2024-05-26 07:55:37 发布
阅读量342 收藏
点赞数
原文链接:https://yq.aliyun.com/articles/482645
版权

STRIDE威胁分析方法的核心是在数据流元素威胁之间建立结构化的映射关系,非常适合工程化;这里提及威胁这个概念,让我想去年英国的安全专家花了约1.5h解释什么叫威胁、什么叫漏洞,哪个吐沫星子乱溅迷人眼呀,这里把专家的说明转述一下:

1、脆弱点

   脆弱点是一种系统缺陷,可以在安全开发的各个阶段引入,包括需求分析、需求设计、编码实现等阶段

2、漏洞

   漏洞是一个或多个可以被利用的脆弱点,利用这些脆弱点,可能会导致系统被非法访问、服务中断,或者执行一些不正确的动作

3、威胁

   威胁是对系统潜在的任何危险。是潜在的,有可能会发生,也有可能不发生,一旦发生就危害到系统的安全性

4、攻击

   为实现某种目标而实施的一系列动作,这里重点强调动作(比如XSS攻击动作、内存溢出攻击动作等)。如果这些动作实施成功,会对保护的资产造成损失

5、影响

   是指攻击行为得以成功实施,对目标系统带来的后果


脆弱点、攻击和威胁的关系是怎么样的呢?

攻击者使用某种方法利用系统的安全缺陷(脆弱点)对系统进行攻击(攻击),从而对系统造成负面影响(影响),这么一个潜在的、有可能发生的事件,就是一条安全威胁(威胁




     本文转自qingkechina 51CTO博客,原文链接:http://blog.51cto.com/qingkechina/1574794,如需转载请自行联系原作者



weixin_33834910
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
威胁建模-STRIDE.pptx
12-29
该模型由微软提出,用于系统设计阶段识别潜在的安全威胁,以确保信息安全在系统开发初期就得到充分考虑。 首先,我们来详细解释一下STRIDE六类威胁: 1. **Spoofing(仿冒)**:这是指攻击者冒充合法的实体,如...
STRIDE 威胁建模:面向安全应用程序开发的威胁分析框架
热门推荐
云上笛暮
05-02 1万+
STRIDE为每一种威胁英文的首写字母,​​​​​​Spoofing欺骗、Tampering篡改、Repudiation否认、Information disclosure信息泄露、Denial of Service拒绝服务、Elevation of privilege特权提升。虽然 STRIDE 威胁建模本身对组织很有用,但它也是一种更广泛意义的威胁分析方法,可为安全团队提供一个实用的框架,用于定义安全要求、创建应用程序图、识别威胁、减轻威胁、并验证威胁已得到缓解。
威胁分析-STRIDE方法论
choery45的博客
12-21 428
威胁分析-STRIDE方法论
安全设计 | 安全设计不得马虎!微软STRIDE威胁建模方法让你事半功倍,快速发现应用安全隐患!
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-26 1653
威胁建模是一种有助于保护系统、应用程序、网络和服务的有效技术。威胁建模使用以图形形式演示系统工作方式的数据流关系图。之后,它应用一个框架来帮助你发现和修复安全问题。它可帮助你在开发生命周期的早期确定潜在的威胁和降低风险策略。威胁建模方法由微软的安全工程和通信小组开发。与SDLC的其他部分一样,威胁建模也在不断发展,并将应用于新的环境中。当创建自己的安全代码开发流程时,这种方法可能会很好地作为基线,实际上很多公司都参照了微软的威胁建模方法制定了自己的基线。
SDL—威胁建模STRIDE
王嘟嘟的博客
04-01 1963
专门拎出来一片来学习威胁建模的详细内容,主要是关注不同的威胁建模方法以及威胁建模实际落地的情况。这里特指的软件安全流程。本篇只针对STRIDE以及它的一个补充进行描述。
软件 安全,处理威胁STRIDE模型
w87510255的专栏
06-16 1384
抵赖,即拒绝执行他人无法证实也无法反对的行为而产生抵赖。例如,我攻击了某个产品,他们并不知道是我做的,没有证据证明是我做的,我就可以进行抵赖,换句话说,我可以死不承认。例如,我通过网络抓包或者某种途径修改某个请求包,而服务端没有进行进一步的防范措施,使得我篡改的请求包提交成功。例如,我通过拒绝服务攻击,使得其他正常用户无法使用产品的相关服务功能。例如,我通过某种途径获取未经加密的敏感信息,例如用户密码。把软件各个部分拆分成对应的模式,可以分成4中模式外部成体,处理过程,数据存储,数据流。
安全分析模型 HEAVENS
09-22
HEAVENS项目的研究涵盖了多个工业领域的威胁分析和风险评估的最新方法、流程、框架和工具,包括信息技术安全、电信、软件工程和国防等。通过对这些领域的现状进行批判性审查,项目团队能够识别汽车行业特有的安全...
图论及安全威胁建模
04-30
在IT行业中,图论被广泛应用在数据结构和算法设计中,特别是在网络分析、网络安全和软件开发领域。本话题将深入探讨图论如何与WEB安全威胁建模相结合,以提高系统的安全性和可靠性。 一、图论基础 1. 图的定义:...
安全建模PPT:信息世界的威胁模型与安全框架.zip
02-12
安全建模是IT行业中至关重要的一个领域,它旨在识别、理解和缓解潜在的信息系统安全威胁。在本资料"安全建模PPT:信息世界的威胁模型与安全框架.zip"中,我们聚焦于安全建模的核心概念,包括安全框架模型、分析模型...
软件开发安全设计方案表 (2).docx
10-23
STRIDE(Spoofing身份,Tampering数据,Repudiation,Information泄露,Denial of Service,Elevation of Privilege)模型是一个常用的方法,它涵盖了常见的安全威胁类型。 3. **输入验证**:对所有用户输入进行...
网络安全6大威胁--STRIDE
tryheart的博客
06-18 6157
安全威胁分类的英文缩写是STRIDE, 代表了六种安全威胁,分别为Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Services, and Elevation of Privileges. Spoofing 就是伪装,比如我用别人的ID发言就是Identity Spoofing, 我想到用变化IP的办法就是IP Spoofing. Tampering 就是篡改,比如我用别人ID发言的手段就是篡改了合法包,而他们
威胁建模主流框架
Zichel77的博客
02-11 8290
威胁建模主流框架 目录 威胁建模主流框架 一、简要介绍 二、威胁建模流程和步骤 三、威胁建模技术 1、在线银行应用的数据流程图示例 2、过程流程图 3、攻击树 四、威胁建模框架和方法 1、STRIDE威胁建模 2、DREAD威胁建模 3、PASTA威胁建模 4、VAST威胁建模 5、Trike威胁建模 6、OCTAVE威胁建模 7、NIST威胁建模 五、威胁建模最佳实践 六、威胁建模工具 一、简要介绍 了解威胁建模框架、方法和工具可以帮助更好地识别、量化和排序面临的.
6步教你搞定网络威胁建模
weixin_34293059的博客
07-19 287
当今社会,许多组织机构面临前所未有的网络威胁及内部威胁,其数据存储、处理与传输均存在高危风险。由于存在这些威胁,企业日益关注网络安全,使其成为信息系统安全认证专业人员(CISSP或CISP)必需掌握的概念。 即使非常重视保护业务流程安全的企业也可能成为网络犯罪的受害者。遵守狭隘的安全标准也许不足以阻止或检测复杂的网络攻击。威胁建模让企业对最可能影响系统的...
STRIDE威胁建模
qq_24899063的博客
03-18 4522
一、什么是威胁建模 简单的来说,威胁建模就是通过结构化的方法,系统的识别、评估产品的安全风险和威胁,并针对这些风险、威胁制定消减措施的一个过程。 威胁建模是一个非常有用的工具,它的核心是“像攻击者一样思考”。威胁建模可以在产品设计阶段、架构评审阶段或者产品运行时开展,强迫我们站在攻击者的角度去评估产品的安全性,分析产品中每个组件是否可能被篡改、仿冒,是否可能会造成信息泄露、拒绝攻击。威胁建模的...
2信息安全概念
ChaselWang的博客
02-26 3181
造成信息不安全的因素: 系统不及时打补丁 使用弱口令(简单的密码) 连接不加密的无线网络 BYOD设备 BYOD(Bring Your Own Device)指携带自己的设备办公,这些设备包括个人电脑、手机、平板等(而更多的情况指手机或平板这样的移动智能终端设备。)在机场、酒店、咖啡厅等,登录公司邮箱、在线办公系统,不受时间、地点、设备、人员、网络环境的限制,BYOD向人们展现了一个美好的未来办公场景。 BYOD(Become Your Office Device)即在你自己的设备上安装很多公司的软件.
威胁建模之发现识别威胁
hldfight
07-21 848
我们在实施威胁建模时,为了提升效率,维护一个威胁清单是很有必要的,该威胁清单需要分为两大部分:第一大部分是基线部分,即多数应用都通用的部分;第二大部分则是不同的业务场景特有的部分。我们在遇到新的业务场景时,需要使用STRIDE方法,来发现识别威胁,然后再将这些威胁补充到威胁清单。经过不断完善,将会得到一个较完整的威胁建模参考资料。然后我们可以将该威胁清单制作成Microsoft Threat Modeling Tool工具的模版,来提升我们威胁建模的实施效率。
STRIDE】【4】安全威胁分析设计
weixin_34037173的博客
01-20 1221
    其实STRIDE威胁建模很简单,只有外部实体、处理过程、存储、数据流四个元素,下图中矩形Client是外部实体,圆形PwmLauncher、PwmBusinessUtil、PwmCache是处理过程,两条线business config xml是存储元素,带箭头的线Create、Read、初始化系统业务文件是数据流:这些元素分别面临着什么风险呢?元素STRIDE外部实体处理过程存    储...
stride信息安全威胁建模方法论
06-20
Stride方法论的主要目的是帮助系统管理员和开发人员识别安全威胁,并在系统设计或开发过程中进行安全措施的规划和实现,以保证系统的安全性。 其中,Spoofing指攻击者伪装成被信任的对象,例如伪造IP地址、MAC地址...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值