¿Cómo crear requisitos de seguridad no genéricos para una fase de idea?

Question

¿Cómo crear requisitos de seguridad no genéricos para una fase de idea?

#1 de securityOrange (0 votos)
#2 de Adam Shostack (-1 votos)

0

Nuestro gerente a menudo nos pide una comprensión rápida de los riesgos que se basarán en alguna idea en la que el departamento ha estado trabajando durante la fase de creación de ideas (los requisitos comerciales generalmente están escritos pero no se realiza la implantación).

Estos equipos están pidiendo riesgos y amenazas de seguridad para ver si la idea vale la pena analizarla o cuánta seguridad constituirá una barrera al implementar la solución o la idea.

¿Cómo crear requisitos de seguridad no genéricos para una fase de idea?

risk-analysis threat-modeling business-risk risk-classification

pregunta Filopn 03.12.2018 - 16:50

fuente

2 respuestas

Lea otras preguntas en las etiquetas risk-analysis threat-modeling business-risk risk-classification

Prueba de lápiz interno: ¿no puede funcionar el ataque de retransmisión SMB? Cómo verificar si TLS 1.0 está deshabilitado [duplicado]

score 0 · Answer 1

Esto suena como una gran aplicación para el modelado de amenazas como parte del proceso de diseño. Si no está familiarizado, el modelado de amenazas es una técnica que implica la creación de escenarios de amenazas, donde se analiza un producto / servicio / sistema para encontrar riesgos potenciales. Fundamentalmente, los modelos de amenazas son simplemente descomposiciones conceptuales que abordan amenazas potenciales, por lo que realmente pueden tomar cualquier formato. Sin embargo, es común construir diagramas visuales de modelos de amenaza para ilustrar, particularmente utilizando un esquema de diseño unificado específico. Microsoft tiene una popular herramienta de modelado de amenazas para la tarea visual, y OWASP también tiene un proyecto para una herramienta de diagramación de modelos de amenazas OSS. Buena suerte!

score -1 · Answer 2

Hagamos un modelo de amenazas utilizando las dos primeras preguntas del marco de referencia del modelo de amenazas de 4 preguntas (en qué estamos trabajando, qué puede salir mal, qué vamos a hacer al respecto) y el triángulo de amenaza / requisito / control.

Comience por preguntar en qué estamos trabajando y cómo podría verse. Puedes hacer esto con diseños de pizarra. Por ejemplo, si 'en qué estamos trabajando' es una nueva bombilla IoT que se controla a través de la nube, puede dibujar esos componentes; si está controlado por bluetooth, puedes imaginar qué componentes hay.

Desde allí, puedes ver qué puede salir mal mediante una lluvia de ideas, utilizando STRIDE o una cadena de eliminación. Puede enumerar amenazas como falsificar a los usuarios en el sitio de la nube, falsificar los dispositivos que hablan con las cuentas de otras personas; manipular los dispositivos en un airbnb, etc.

Con eso, puede usar el triángulo amenaza / requisito / control para usar sus amenazas para enumerar los requisitos. El triángulo es:

Laideadetrásdeestoesquedescubrasunaamenaza,porejemplo,cualquierapuedeponertextoenelsitioweb.¿Eslaintegridadunrequisito?Espordiseñoquepodemoseditaralgunos,peronotodoeltextoaquíenSE,yseríaunainfraccióngraveenwhitehouse.gov.

(Eldiagramaesde enlace )