【STRIDE】【4】安全威胁分析设计

最新推荐文章于 2024-09-10 19:10:54 发布
最新推荐文章于 2024-09-10 19:10:54 发布
阅读量1.3k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_34037173/article/details/85093438
版权

    其实STRIDE威胁建模很简单,只有外部实体、处理过程、存储、数据流四个元素,下图中矩形Client是外部实体,圆形PwmLauncher、PwmBusinessUtil、PwmCache是处理过程,两条线business config xml是存储元素,带箭头的线Create、Read、初始化系统业务文件是数据流:

wKioL1Rl_1bytcJnAAFA4IX7eQI115.jpg


这些元素分别面临着什么风险呢?

元素ST
RIDE
外部实体i_f42.gif
i_f42.gif


处理过程i_f42.gifi_f42.gifi_f42.gifi_f42.gifi_f42.gifi_f42.gif
存    储
i_f42.gifi_f42.gifi_f42.gifi_f42.gif
数 据 流
i_f42.gif
i_f42.gifi_f42.gif


再述STRIDE概念:

仿冒(S):***者仿冒某人或某物。外部交互方和处理过程都面临着仿冒的危险

篡改(T):未经授权修改数据

抵赖(R):有能力否认做过的事情。通常是篡改电子证据,或者电子证据不可信

信息泄露(I):敏感信息在传输、存储、处理的过程中被未授权的访问

拒绝服务(D):无法正常提供服务。造成拒绝服务的原因很多,如资源不足、系统崩溃、物理损坏等

权限提升(E):拥有了本不该有的权限。常见的场景有:从匿名访问权限提升到认证用户访问权限,或从普通用户权限提升到管理员权限


【SDL实践指南】STRIDE威胁建模
Fly_鹏程万里
03-27 1725
STRIDE威胁建模是由微软提出的一种威胁建模方法,将威胁类型分为Spoofing(仿冒)、Tampering(篡改)、Repudiation(抵赖)、Information Disclosure(信息泄漏)、Denial of Service(拒绝服务)和Elevation of Privilege(权限提升)六种威胁构成,STRIDE威胁模型几乎可以涵盖目前绝大部分安全问题
安全威胁分析(初学者能看懂)
07-29
安全威胁分析,很重要的~内容简单也实用,初学者可以看懂。
STRIDE】【1】安全威胁分析设计
weixin_33916256的博客
09-19 368
      自2013年7月美国帅哥斯诺登披露棱镜门事件后,国内软件企业对安全的态度犹如一夜春风来,各种安全峰会、培训、交流等络绎不绝,阿里、360、微软、腾讯等安全人员也开始open起来。       试想作为一个软件企业如何做好安全呢?企业中的测试人员的重点都放在功能测试上,对安全考虑相对较少,研发丝们更不会去考虑安全,此时老板头大了。           腾讯、阿里的通常做法是一个安全大牛带...
安全威胁情报分析
weixin_34292959的博客
02-05 303
随着以APT为典型代表的新型威胁和***的不断增长,企业和组织在防范外部的***过程中越发需要依靠充分、有效的安全威胁情报做为支撑,以帮助其更好的应对这些新型威胁。安全威胁情报分析市场应运而生,并蓬勃发展。 针对传统的威胁,我们采用的防御和检测机制基本上是以特征检测为主,而新型威胁更多地利用0day进行***,这意味着防守方可能无法提前获知特征信息,从而无法发挥现有检测机制的作用。即便有些新型威...
VoIP面临的四大安全威胁分析
weixin_34192732的博客
04-12 217
目前,VoIP面临的安全议题主要有四:阻断式服务(DoS)安全、非法存取、话费诈欺或窃听等威胁。而VoIP的协议安全却是无法忽略之痛。   信息安全专家会这样警告你,如果对VoIP部署不当,互联网电话会受到安全和恶意代码的安全。VoIP可能破坏网络的安全措施,对于企业网络而 言,VoIP的威胁尤其大,因为企业会急于部署这一技术而忽视了安全。   仔细分析可以看到,VoIP...
安全分析中的威胁情报(一)
360技术
06-14 7359
点击蓝字关注我们奇技指南本篇从安全分析角度,介绍了威胁情报如何产出,并且提供了工程化的方案。01何为威胁情报我将威胁情报定义为:经过研判过的安全信息。这里有三个实体:研判...
威胁建模-STRIDE.pptx
12-29
该模型由微软提出,用于系统设计阶段识别潜在的安全威胁,以确保信息安全在系统开发初期就得到充分考虑。 首先,我们来详细解释一下STRIDE六类威胁: 1. **Spoofing(仿冒)**:这是指攻击者冒充合法的实体,如...
ChatGPT问答【应用安全】介绍下STRIDE威胁建模?
u012049263的博客
04-25 576
STRIDE威胁建模方法通常用于软件设计阶段,帮助开发人员和安全分析师从潜在攻击者的角度审视系统。它促进团队理解可能影响系统安全的问题,并有助于提前规划适当的防御措施来缓解这些威胁。STRIDE是一种威胁建模方法,由微软在20世纪90年代末开发。STRIDE威胁建模是一种战略性的方法,可以帮助团队预先规划安全措施,减少生产环境中安全事件的发生。
基于STRIDE-LM的5G网络安全威胁建模研究与应用.pdf
09-19
STRIDE-LM模型是一种系统化的安全威胁建模方法,该模型将威胁分析分为六个阶段,帮助研究者和安全专家更加准确地识别潜在的安全威胁,并提出相应的防御策略。在5G网络安全领域,使用STRIDE-LM模型可以更好地理解网络...
stride信息安全威胁建模方法论
06-20
在实际应用中,系统管理员可以应用Stride方法论对系统进行安全威胁分析和风险评估,以制定相应的安全策略和控制措施。例如,在设计系统时,管理员可以尽量避免使用易被攻击者伪装的元素,如IP地址、Cookie等;开发...
安全分析模型 HEAVENS
09-22
HEAVENS项目的研究涵盖了多个工业领域的威胁分析和风险评估的最新方法、流程、框架和工具,包括信息技术安全、电信、软件工程和国防等。通过对这些领域的现状进行批判性审查,项目团队能够识别汽车行业特有的安全...
STRIDE威胁建模
dl71181的博客
09-09 1万+
一、什么是威胁建模 简单的来说,威胁建模就是通过结构化的方法,系统的识别、评估产品的安全风险和威胁,并针对这些风险、威胁制定消减措施的一个过程。 威胁建模是一个非常有用的工具,它的核心是“像攻击者一样思考”。威胁建模可以在产品设计阶段、架构评审阶段或者产品运行时开展,强迫我们站在攻击者的角度去评估产品的安全性,分析产品中每个组件是否可能被篡改、仿冒,是否可能会造成信息泄露、拒绝攻...
STRIDE 威胁建模:面向安全应用程序开发的威胁分析框架
热门推荐
云上笛暮
05-02 1万+
STRIDE为每一种威胁英文的首写字母,​​​​​​Spoofing欺骗、Tampering篡改、Repudiation否认、Information disclosure信息泄露、Denial of Service拒绝服务、Elevation of privilege特权提升。虽然 STRIDE 威胁建模本身对组织很有用,但它也是一种更广泛意义的威胁分析方法,可为安全团队提供一个实用的框架,用于定义安全要求、创建应用程序图、识别威胁、减轻威胁、并验证威胁已得到缓解。
威胁建模STRIDE框架
最新发布
大河之犬的博客
09-10 2330
威胁建模框架可帮助你生成潜在威胁的列表,并找到降低或消除风险的方法。引入威胁建模框架目的是在开发生命周期的早期尽可能多地发现并修复问题。等待时间越长,客户的风险就越高一般使用 STRIDE 框架中的六个主要威胁类别来发现安全设计问题:类别说明欺骗冒充某人或某物篡改未经授权更改数据否认性不宣称对执行的操作负责信息泄露未经许可查看数据拒绝服务系统繁忙权限提升拥有本不应该拥有的权限每个威胁类别都与安全控制关联,如下:类别安全控制描述欺骗身份验证其身份是否如其所述。
安全设计 | 安全设计不得马虎!微软STRIDE威胁建模方法让你事半功倍,快速发现应用安全隐患!
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-26 2780
威胁建模是一种有助于保护系统、应用程序、网络和服务的有效技术。威胁建模使用以图形形式演示系统工作方式的数据流关系图。之后,它应用一个框架来帮助你发现和修复安全问题。它可帮助你在开发生命周期的早期确定潜在的威胁和降低风险策略。威胁建模方法由微软的安全工程和通信小组开发。与SDLC的其他部分一样,威胁建模也在不断发展,并将应用于新的环境中。当创建自己的安全代码开发流程时,这种方法可能会很好地作为基线,实际上很多公司都参照了微软的威胁建模方法制定了自己的基线。
SDL介绍----3、STRIDE威胁建模方法
七天
07-06 8780
STRIDE威胁建模方法
威胁建模学习笔记1
花米徐的专栏(u014506527的专栏)
04-17 3437
前言: 构建新系统与更新老系统,设计与实施要考虑防御入侵的手段,威胁建模是种手段. 威胁的分类:来自网络,来自主机,来自应用。 威胁建模的定义: 结构化标识、定量、定位威胁的方法,是开发过程的一部分。 设计安全软件的其中一个问题在于,不同的团体考虑安全性的方式不一样。软件开发人员认为安全性好坏主要取决于代码质量,而网络管理员考虑的是防火墙、事件响应和系统管理。学术界大多数人可能按
互联网企业安全高级指南3.8 STRIDE威胁建模
weixin_33967071的博客
05-15 2083
3.8 STRIDE威胁建模 STRIDE是微软开发的用于威胁建模的工具,或者是说一套方法论吧,它把外部威胁分成6个维度来考察系统设计时存在的风险点,这6个维度首字母的缩写就是STRIDE,分别为: Spoofing(假冒)、Tampering(篡改)、Repudiation(否认)、Information Disclosure(信息泄漏)、Denia...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值