攻擊面評估

• 攻擊面：

  • 未經授權的各方可以存取的程式碼或資源
  • 禁用不必要的功能
  • 開發團隊中的活動文件

• 攻擊面測量：

  • 建立或使用已發布的存取權限列表（如何存取）
  • 與先前版本相關的已知漏洞的歷史記錄
  • 不一定是漏洞，但會受到攻擊
    • 所有漏洞的基礎要素
  • 區別：不同軟體之間無法比較

• 攻擊面最小化

  • 關閉大多數用戶不需要的元素
  • 為某些人關閉，為其他人打開，限制存取
  • 開發過程：
    • 儘早計算並記錄攻擊面
  • 設計過程：
    • 設計基準
    • 列出元素和細節

威脅模型

• 識別並記錄所有威脅，包括緩解措施，將其作為有效的記錄

• 威脅模型開發：

  1. 確定安全對象
     • 定義安全目標
     • 由綜合資源驅動：
       • 法律
       • 契約
       • 企業標準
       • 目標
  2. 系統分解
     • 確保系統實際設計中包含安全性對象
     • 資料流程圖DFD模型：
       • 外部實體：
         • 使用者
         • 其他系統
       • 資料儲存
         • 文件、資料庫、註冊表、記憶體和佇列
       • 信任範圍：
         • 攻擊者可以插入系統的地方
         • 關鍵要素包括：
           • 用戶
           • 文件系統
           • 程序邊界：在邊界內共享相同的特權
       • 資料流
         • 功能
         • 遠端程序呼叫
         • 網路
  3. 威脅識別（STRIDE）

     1. 經驗豐富的保安人員

     2. 系統分解短語，DFD模型給出的信息，記錄了需要保護的內容

     3. 在任何地方重複使用STRIDE

        欺騙	篡改	否認	訊息揭露	拒絕服務	權限提升

        認證 | 完整 | 不可否認 | 加密 | 可用性 | 授權

     4. 避免因應用程序無法控制而分心

     5. 使用自動化工具來管理文件

  4. 緩解分析（DREAD）
     四種緩解類型：
     1. 重新設計：最好是消除風險、但要儘早
     2. 標準緩解措施：常見、已知有效、經濟效益
     3. 新的緩解措施：風險更大、成本更高
     4. 接受問題：
     * 威脅模型文件：威脅模型動態文檔，甚至不能立即使用緩解措施
     * 攻擊樹模型：將攻擊目標作為根節點，直至所有必要條件
     * 優先級：
     - 潛在破壞
     - 重現性
     - 可利用性
     - 受影響的用戶
     - 發現能力
  5. 模型驗證
     • 威脅：攻擊和影響的細節
     • 緩解措施：與威脅相關並與應用環境有關

控制識別和優先級

• 安全控制：安全管理機制
• 優先進行安全控制

程式碼重用的風險評估

• 舊錯誤再次執行
• 舊程式碼
  • 受到與新法規相同的審查
  • 被包括在威脅建模中
• 審查和演練：使用遺留程式碼洞悉風險

威脅模型

開發團隊之間進行溝通

• 記錄：
  • 安全目標
  • 列舉威脅
  • 漏洞和緩解措施
  • 依賴性和假設

設計與架構技術