STRIDE (безопасность) - STRIDE (security)
STRIDE модель угроз, разработанная Praerit Garg и Лорен Конфельдер в Microsoft[1] для определения компьютерная безопасность угрозы.[2] Он обеспечивает мнемонический для угроз безопасности в шести категориях.[3]
Угрозы:
- Sпыхтение
- Тпробуждение
- рэпудиация
- яраскрытие информации (нарушение конфиденциальности или же утечка данных )
- Dобслуживание
- Eлишение привилегии[4]
STRIDE изначально создавался как часть процесса моделирование угроз. STRIDE - это модель угроз, которая помогает рассуждать и находить угрозы для системы. Он используется вместе с моделью целевой системы, которую можно построить параллельно. Сюда входит полная разбивка процессов, хранилищ данных, потоков данных и границ доверия.[5]
Сегодня он часто используется экспертами по безопасности, чтобы помочь ответить на вопрос «что может пойти не так в этой системе, над которой мы работаем?»
Каждая угроза - это нарушение желаемого свойства системы:
| Угроза | Желаемая недвижимость |
|---|---|
| Спуфинг | Подлинность |
| Вмешательство | Честность |
| Отказ | Безотказность |
| Раскрытие информации | Конфиденциальность |
| Отказ в обслуживании | Доступность |
| Повышение привилегий | Авторизация |
Заметки об угрозах
Отказ необычен, потому что это угроза с точки зрения безопасности и желательное свойство некоторых систем конфиденциальности, например, системы Голдберга "Off the Record "система обмена сообщениями. Это полезная демонстрация напряжения, с которым иногда приходится сталкиваться при анализе проекта безопасности.
Повышение привилегий часто называют повышением привилегий или повышением привилегий. Они синонимы.
Смотрите также
- Дерево атак - другой подход к моделированию угроз безопасности, основанный на анализе зависимостей
- Кибербезопасность и противодействие
- DREAD (модель оценки рисков) - еще одна мнемоника угроз безопасности
- OWASP - организация, занимающаяся повышением безопасности веб-приложений через образование
- ЦРУ также известный как AIC - еще одна мнемоника модели безопасности для создания безопасности в ИТ-системах
Рекомендации
- ^ Шостак, Адам. ""Угрозы для нашей продукции"". Блог Microsoft SDL. Microsoft. Получено 18 августа 2018.
- ^ Конфельдер, Лорен; Гарг, Праэрит (1 апреля 1999 г.). «Угрозы нашей продукции». Интерфейс Microsoft. Получено 18 августа 2018.
- ^ "Модель угрозы STRIDE". Microsoft. Microsoft.
- ^ Гусман, Аарон; Гупта, Адитья (2017). Руководство по тестированию на проникновение в Интернет вещей: определение уязвимостей и защита ваших смарт-устройств. Packt Publishing. С. 34–35. ISBN 978-1-78728-517-0.
- ^ Шостак (2014). Моделирование угроз: проектирование для обеспечения безопасности. Вайли. С. 61–64. ISBN 978-1118809990.
внешняя ссылка
 | Этот Информатика статья - это заглушка. Вы можете помочь Википедии расширяя это. |