Моделирование угроз с помощью Microsoft Threat Modeling Tools


Download 0.5 Mb.
bet4/6
Sana01.04.2023
Hajmi0.5 Mb.
#1316139
TuriПрактическая работа
1   2   3   4   5   6
Раскрытие информации

Предполагает раскрытие сведений пользователям, которые не должны иметь к ним доступ, например возможность прочитать файл, к которому этим пользователям не предоставлен доступ, или возможность для злоумышленника считать данные при их передаче между двумя компьютерами.

Отказ в обслуживании

DoS-атака — это буквально отказ в обслуживании для допустимых пользователей, что делает веб-сервер временно недоступным или непригодным для использования. Следует защищаться от определенных типов угроз DoS-атак, просто чтобы повысить доступность и надежность системы.

Несанкционированное получение привилегий

Непривилегированный пользователь получает привилегированный доступ, т. е. достаточные полномочия для нарушения работоспособности или уничтожения всей системы. Угроза повышения привилегий включает ситуации, в которых злоумышленник эффективно обходит все средства защиты системы, сам становясь частью надежной системы. Тем самым он создает действительно опасную ситуацию.

Команда разработчиков средства моделирования угроз постоянно работает над тем, чтобы улучшить функциональность и возможности средства. В течение года могут произойти некоторые незначительные изменения, но при всех основных изменениях необходимо переписывать все руководство. Почаще просматривайте его, чтобы быть в курсе последних объявлений.
Создание модели
В этом разделе мы понаблюдаем за следующими людьми:

  • Кристина (разработчик);

  • Рикардо (руководитель программы);

  • Ашиш (тестировщик).

Они собираются разработать свою первую модель рисков.
Рикардо: "Привет, Кристина. Я работал над диаграммой модели рисков и хотел убедиться, что мы получили правильные сведения. Поможешь мне просмотреть их?" Кристина: "Конечно. Давай посмотрим". Рикардо открывает средство и предоставляет общий доступ к нему Кристине.

6.3 - рисунок. Создание модели.
Кристина: "Хорошо, все выглядит просто, но можешь помочь мне разобраться? Рикардо: "Конечно! Вот какая здесь структура:

  • наш реальный пользователь изображен в виде внешней сущности — квадрата;

  • он отправляет команды на наш веб-сервер — круг;

  • веб-сервер связывается с базой данных (две параллельные линии).

То, что Рикардо показал Кристине, — это DFD, сокращение для диаграммы потока данных. С помощью средства моделирования угроз пользователи могут указывать границы доверия, обозначенные красными пунктирными линиями, чтобы показать, в каких местах различные сущности находятся под контролем. Например, для проверки подлинности ИТ-администраторам требуется система Active Directory, таким образом она находится за пределами их контроля.
Кристина: "Похоже, это мне подходит. Как насчет угроз?" Рикардо: "Давай покажу".

Download 0.5 Mb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling