Aidez-moi à trouver un cadre de modélisation de menaces légers
Nous sommes une petite entreprise et nous n'avons pas de ressources que nous pouvons consacrer à la modélisation des menaces lourds. Toutefois, si nous pouvions trouver un cadre de modélisation de la menace assez léger, je pense qu'il y a de la valeur dans la documentation des flux de données et des vulnérabilités de la surface de l'exercice.
J'ai regardé le plus étroitement à la foulée, mais en ce qui concerne les diagrammes de flux de données (DFDS), je suis coincé - peut-être parce que les demandes (s) sont déjà construites et que je semble inclure des minutiatiques qui n'appartiennent probablement pas.
J'ai aussi trouvé Model Modeling Express Mais il ne sera pas facile de trouver le temps de développement pour aider à l'exercice.
Idéalement, c'est quelque chose qui peut être travaillé coup fragé par une personne. Bien que je comprenne la valeur dans un point de vue différent, ce n'est probablement probablement pas réaliste à ce moment-là, car tout le monde est occupé.
Étant donné que la demande est construite, il y a toujours une valeur ajoutée à la modélisation de la menace? Devrais-je simplement pointer W3AF ou Nikto dans mes applications périodiquement et assainir les vulnérabilités?
En bref, quel est le meilleur coup pour le Buck pour une petite entreprise en termes de découverte de menaces? Quel modèle ou quel cadre produira des résultats exploitables avec un investissement modeste de ressources?
Tia
La modélisation des menaces est vraiment une compétence, basée sur l'expérience, après avoir appris ce qui fonctionne et ce qui ne fonctionne pas.
Je ne pense pas qu'un choix de cadre facilitera les choses beaucoup plus facilement, vous aurez toujours les mêmes problèmes et difficultés que vous avez maintenant.
Au contraire, je recommanderais de la plus grande place comme le meilleur endroit pour démarrer et ajouter plus tard des techniques supplémentaires selon les besoins.
Il est probablement plus probable que vous avez juste besoin de quelques conseils sur comment à faire menace la modélisation efficace, simple changement de la méthode ne serait pas votre solution miracle.
Mes recommandations:
- Passez d'abord une exercice de modélisation de menace entière avec une personne expérimentée, qui sait comment le faire - c'est vraiment le meilleur moyen d'apprendre, en faisant. Même si cela signifie obtenir un consultant externe pendant quelques heures.
- L'une des raisons pour lesquelles les DFD sont recommandées, c'est parce que cela existe souvent déjà. Essayez de découvrir si quelqu'un a celles-ci, ou même quelque chose de similaire.
- Une autre raison pour les DFD, c'est parce qu'ils peuvent être relativement simples. Si vous dites que vous êtes coincé sur Minutiae, puis effectuez un zoom arrière et maintenez le DFD à la couche 0 ou à la couche 1, seulement de creuser occasionnellement dans la couche 2 au besoin - mais pas plus que cela.
- N'oubliez pas que vous souhaitez vous concentrer sur la vue d'ensemble de haut niveau, les flux entre modules et les limites de la confiance. Vous ne devriez jamais avoir à percer la mise en œuvre (mais impliquant des développeurs/architectes qui comprennent comment cela fonctionne, pouvez-vous vous aider à découvrir des points intéressants qui nécessitent une cartographie supplémentaire.) Ne vous laissez pas emporter dans les détails!
- Microsoft dispose de deux outils différents pour aider à la modélisation de la menace, TAM et SDL TM. Celles-ci sont basées sur différentes perspectives et sous-méthodologies, l'une d'entre elles fonctionne comme une application "sorcier" - comme une application. Je préfère beaucoup SDL TM.
- Envisagez de focaliser un TM sur un module/section de l'application à la fois, au lieu d'essayer de l'attraper à la fois.
- N'oubliez pas que pendant TM, vous ne cherchez pas de solutions. Cela peut rapidement affirmer tout effort TM.
- Idéalement, vous auriez les points de vue et les commentaires de toutes les parties prenantes (architecture/gestion des produits/développement/QA/opérations ....), mais de façon réaliste, dans de nombreux orgs qui n'est pas possible - à la place, essayer de se concentrer de petites bouchées de temps avec des représentants de chacun, et pose questions spécifiques que la chair de la volonté d'aide votre modèle. S'il n'y avait pas de DFD ou d'un autre diagramme, et que vous l'avez construit vous-même - obtenez-en leurs commentaires, ils vous remercieront souvent pour leur fournir cela.
Quelques réflexions supplémentaires sur TM, selon vos questions supplémentaires à la fin:
Sera certainement pointer simplement un scanner d'applications Web approprié à vos serveurs plus facile . Cependant, je pense que TM serait beaucoup plus efficace et à long terme serait également plus efficace (pour de nombreuses raisons, cependant).
Même si l'application existe déjà, il est toujours utile de revenir en arrière et analyser - certaines choses seront plus faciles (moins devinettes), certaines choses ne peuvent se dérouler, mais vous pouvez découvrir quels types de défauts sont intéressants . C'est ce qui peut vous aider à revenir en arrière et à résoudre des problèmes spécifiques, pas seulement aux techniques qui ne s'appliquent pas à votre entreprise. Et pire des cas - tout ce qu'il va faire est de vous aider à concentrer vos efforts de test dans des zones plus " intéressant ", au lieu de-test de masse l'ensemble du système.
Certains liens que j'ai trouvés utiles dans le passé lorsqu'ils enseignent aux autres comment faire TM:
- Modélisation de la menace de guérilla
- Modèles et pratiques de Microsoft: applications Web de modélisation de la menace (tout le livre est marqué comme obsolète, mais cette section est toujours pertinente).
- Les modèles de menace améliorent votre processus de sécurité (Michael Howard)
- MS 'Larry Osterman's Guidage de TM de plusieurs pièces définitives (première partie démarre ici )
La véronon a un cadre ouvert qu'ils ont développé avec l'industrie. Je trouve extrêmement léger et il pourrait être utile que vous utilisiez pour la modélisation des menaces. Vous pouvez trouver la documentation communautaire à: https://verisframework.wiki.zoho.com/ .
Microsoft avait l'outil d'analyse et de modélisation des menaces qui semblaient intégrer beaucoup de leurs informations sur la foulée/redoute, ainsi que des contre-mesures aux menaces de leurs menaces et de leurs contre-mesures.
Certaines des méthodologies et des outils là-bas:
Modélisation Microsoft Menace - semble très technique/ingénierie centrée avec des analystes de sécurité assaisonnées nécessaires pour créer des modèles de menace détaillés. Dans un environnement agile, la mise à l'échelle pourrait être un problème.
Les pâtes (processus de simulation d'attaque et d'analyse des menaces) - ont trouvé cela ici . Cette méthodologie semble que cela impliquerait toutes les parties prenantes du SDLC, y compris vos développeurs.
Trike - Modélisation des menaces en prenant des risques en perspective.
Outils
- Microsoft Tam
- MyAppSecurity MemorModeler
- Trice occulttrike
- Analyse de la menace pratique