AWS教你如何做威胁建模

最新推荐文章于 2024-05-14 16:50:09 发布
最新推荐文章于 2024-05-14 16:50:09 发布
阅读量1.1k 收藏 6
点赞数 2
文章标签: aws 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47208161/article/details/126535324
版权

  • 写在前面

  • 准备威胁建模

    • 组建虚拟团队

    • 四个阶段的结构化思考

  • 车联网威胁建模例子

    • 1、我们在做什么?为车辆登记功能创建系统模型

    • 2、会出什么问题?识别功能威胁

    • 3、我们要怎么做?确定威胁的优先级并选择缓解措施

    • 4、我们做得足够好吗?评估威胁建模过程的有效性

  • 附录

    • 威胁建模模板

    • 参考资料

AWS教你如何做威胁建模

写在前面

    最近的“AWS re:Inforce 2022”介绍了众多的安全、身份和合规的产品和服务,笔者整理亚马逊相关资料一步一步介绍威胁建模环节该怎么做。

    这里严厉批评某些公司所谓的“轻量级威胁建模”,其实本质就是需求表格的自查,不要指望技术同学用简单的checklist就能做,想轻量级那就不是威胁建模!

    因为威胁建模的本质是----“有经验的安全专家和业务团队关于威胁的头脑风暴”,欢迎自动化、欢迎复用、欢迎标准流程,但威胁建模活动一定是以沟通、协作和以人为主导的专业知识为中心的。

准备威胁建模

组建虚拟团队

    威胁建模需要听取多种不同观点和经验才能进行,每个团队成员的意见都需要重视,最终在安全、交付、业务之间取得权衡。不能仅仅是安全和技术参与,checklist,卡点反而是阻碍威胁建模效果的瓶颈。具体来说需要五个角色:

  • 威胁建模专家:是一次威胁建模活动的主导者,经验丰富、洞察威胁建模的过程和控制讨论边界,这个主持人、教练、顾问要参与一线,最终总结材料文档,平时同时兼职攻击者和防守者两个角色。

  • 攻击者:发现设计类安全缺陷,类似于沙盘方式设身处地从攻击角度进行头脑风暴。

  • 防守者:避免安全防御措施过度设计,设计威胁控制措施。

  • 开发人员:主力模块开发者或者系统架构师,有了解当前服务具体如何设计和实现的背景,负责清楚明白威胁和缓解措施。

  • 产品经理:类似于交付经理,避免安全措施导致产品需求无法实现,达到安全、效率和体验的平衡。

威胁建模的四个阶段

    通过在不同的阶段尝试结构化思考回答四个问题:

  1. 我们在做什么?

参与者:全部虚拟团队成员

交付和设计更安全的软件

会出什么问题?

参与者:攻击者、开发者

<
最低0.47元/天 解锁文章
安全乐观主义
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
车联网安全威胁建模
网安君的博客
11-02 508
威胁建模是一种结构化方法,用来识别、量化并应对威胁,利用抽象的方法来帮助思考风险。威胁建模允许系统安全人员传达安全漏洞的破坏力,然后定义防范或减轻系统威胁的对策,并按轻重缓急实施补救措施。说人话就是归纳资产并把资产分类,然后定义资产所面临的威胁并进一步把威胁细化,把所受到的威胁按照轻重缓急进行评分并且给出缓解措施。威胁模型通常创建于产品的开发和设计阶段。如果某种产品的生产商有着良好的开发生命周期,它会在产品开发伊始就建立威胁模型,并随着产品开发生命周期的推进,持续新模型。
aws流程建模
07-04
aws流程建模,详细说明ppt , 深度解析aws 流程建模步骤以及详细说明
利用威胁建模防范金融和互联网风险
顶象科技的技术文章
06-24 871
从B站数据遭竞品批量爬取,到华住集团信息泄露;从东海航空遭遇大规模恶意占座,到马蜂窝旅游网站事件;从接码平台日赚百万到双十一电商风险爆发.....顶象2018年第三季度业务风险监测数据显示,恶意爬取是Q3所有业务风险中占比最高,排在第二位的是虚假注册,其次是账号盗用、推广作弊及其他、薅羊毛等。 薅羊毛、盗号冒用、虚假注册、恶意爬取、推广作弊等等各种业务不仅给业务平台带来巨大经济损失,损害了用户合法权益,破坏了商业秩序。 其实,这些风险可以通过模型来防控。例如,在日常生活中,我们会关注每天的天气和气温变
网络安全人士必知的14个威胁建模方法
最新发布
tingting11232的博客
05-14 967
网络安全人士必知的14个威胁建模方法
【转】威胁建模的12种方法
tpriwwq的专栏
11-23 382
威胁建模是一种基于工程和风险的方法,用于识别、评估和管理安全威胁,旨在开发和部署符合企业组织安全和风险目标的好软件和IT系统。
威胁建模之发现识别威胁
hldfight
07-21 805
我们在实施威胁建模时,为了提升效率,维护一个威胁清单是很有必要的,该威胁清单需要分为两大部分:第一大部分是基线部分,即多数应用都通用的部分;第二大部分则是不同的业务场景特有的部分。我们在遇到新的业务场景时,需要使用STRIDE方法,来发现识别威胁,然后再将这些威胁补充到威胁清单。经过不断完善,将会得到一个较完整的威胁建模参考资料。然后我们可以将该威胁清单制作成Microsoft Threat Modeling Tool工具的模版,来提升我们威胁建模的实施效率。
精华-IoT威胁建模
大秋神
07-08 5261
2.1 简介 无论读者具有软件研发背景还是具有系统或者网络运维背景,可能都对各自领域中的攻击面或者攻击向量都已经比较熟悉了。攻击面指的是通过某一输入源实现设备入侵的多种途径。输入源可以来自硬件、软件,也可以来自无线方式。一般来说,设备中包含的攻击面越多,被入侵的可能性就越大。所以,攻击面其实就是进入IoT设备的入口点。有些IoT设备或应用在设计开发时默认信任这些入口点。但是所发现的攻击面都有与之相关联的入侵风险、入侵概率以及入侵影响。因此从本质上来说,攻击面就是可能对设备带来不良影响,进而导致设备执行非预期
并网AWS波浪发电场等效建模
01-15
提出了阿基米德波浪摆(AWS)发电场的等效建模方法,重点研究波浪力输入等效。提出基于波浪最大能量捕获控制策略下AWS波浪力输入和输出有功功率之间的稳态关系,由于等效前后的发电场输出有功功率应该相等,在规则...
AWS CLI使用
12-03
程是aws cli命令的使用文档,AWS CLI 是一个在 AWS SDK for Python (Boto) 之上构建的开源工具,可提供与 AWS 服务交互的命令。仅需最小的配置,您就可以从您喜爱的终端程序开始使用 AWS 管理控制台提供的所有功能...
基于AWS的Teamcenter安装
02-15
详细介绍了Teamcenter在亚马逊云平台AWS上的安装步骤,属于西门子内部资料
aws-tutorial-code:AWS程代码
05-26
AWS程 存储库中的代码参考频道上的AWS程。 视频程的文本版本可以在找到 随时通过频道评论请求程。 其他参考
威胁建模
热门推荐
fufu_good的博客
01-12 8万+
威胁建模 什么是威胁建模威胁建模可以在产品设计阶段、架构评审阶段或者产品运行时开展,强迫我们站在攻击者的角度去评估产品的安全性,分析产品中每个组件是否可能被篡改、仿冒,是否可能会造成信息泄露、拒绝攻击 核心 像攻击者一样思考 为什么要威胁建模? 1.站在攻击者的角度通过识别威胁,尽可能多的发现产品架构和功能设计中的安全风险 2.制定措施消减威胁,规避风险,确保产品的安全威胁建模方...
威胁追捕有3种技术风格 假设驱动威胁值得关注
weixin_34008805的博客
11-01 91
有两种可能的结果:如果实验结果符合假设,这就是测量;如果不符合假设,这就是发现。 ——恩里科·费米(原子能之父) 威胁追捕,就是主动识别并抑制已在企业环境中建立了桥头堡的对手。这与威胁检测不同,威胁检测主要是靠特征码检测或系统事件关联等手段,发现入侵指标(IOC),识别出威胁。此类上下文中的威胁,就是具备坏事的意图、能力和机会的对手。威胁追捕是...
快速风险建模
cpongo5
06-13 1302
大部分程序开发人员都懂得在软件开发生命周期(SDLC)早期发现问题的重要性。现有团体也创造了多种方法论,用来帮助我们把安全纳入到SDLC中去,这些方法论包括(并不仅限于):\开放式软件保证成熟度建模\ 建立安全成熟度模型(BSIMM) (BSIMM)\ 微软的安全开发生命周期(SDL) (SDL)\所有的这些方案都建议,在设计层上的风险建模过程中设置一些变量。在广泛的范围来看,风险建...
你如何避免威胁建模7大“坑”
weixin_33894640的博客
06-08 375
什么是威胁建模? 开放Web应用程序安全项目(OWASP)将威胁建模描述为“用于识别、量化和解决与应用程序相关的安全风险的结构化方法”。它本质上涉及在构建或部署系统时,战略性考虑的威胁,因此在应用程序生命周期的较早阶段就可以实现对预防或减轻威胁的适当控制。 威胁建模让企业对最可能影响系统的各种网络威胁进行系统性识别和评价。有了这些信息,企业就可以按照一定...
威胁建模设计交付安全的软件》
chengying332
06-23 1454
威胁建模设计交付安全的软件》 本书通过各个生动有趣的案例,让读者知道什么是原动力、原动力的意义何在,揭示了人们只要从树立最简单的目标开始,一步一步,不断延伸,不断扩张,最终会攀上事业的高峰的道理。本书是鼓励年轻人积极进取的作品,适合大众阅读... 详细解读 和小伙伴们一起来吐槽
系统安全设计的方法--威胁建模
09-14 3277
总的来说,威胁建模是要消耗时间成本的,但对于系统安全来说是值得的,因为面对来自方方面面的系统安全威胁,如果我们能“料敌于先”,堂堂正正好防御措施,总比听天由命式的仓促应战有胜算吧。问题驱动的方法可以帮助识别相关的威胁和攻击。因为从性能和功能的角度来看,威胁建模中确定的关键资源也可能是功能和性能的关键资源,所以我们可以在平衡所有需求时重新审视和调整模型,这是正常的,也是这一过程的重要成果。漏洞的识别和应用是一个事件的两个步骤,首先,通过询问问题来识别通常的功能漏洞,然后,查找功能是否有漏洞列表中的漏洞。
实践之后,我们来谈谈如何威胁建模
Spontaneous_0的博客
02-20 945
实践之后,我们来谈谈如何威胁建模
常见威胁建模框架分析与比较
qq_35388992的博客
06-11 4281
威胁建模的方法最初是为了帮助开发多的安全的操作系统,但已经开发的大量威胁建模方法,有些只关注软件发展,有些仅涵盖业务或组织的风险和威胁,另有一些可能是技术性的,不同的威胁模型都在基于不同的目的而开发和使用的。美国国土安全部(DHS)的下一代网络基础设施(NGCI)Apex计划将使用威胁建模和网络攻防演练的方式来为风险指标的开发、技术的评估和探寻,以及为如何降低风险提供信息。DHS评估了现有的框架无法满足其NGCI Apex计划的需求,促使其开发一个威胁建模框架。 ...
aws toolkit
07-09
AWS Toolkit 是一个用于开发和管理AWS资源的集成开发环境(IDE)插件。它提供了与AWS服务的无缝集成,使开发人员可以在常见的IDE中轻松地构建、测试和部署AWS应用程序。 以下是一个简单的AWS Toolkit程,帮助您...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值