Поделиться через


Рекомендации по анализу угроз

Применяется к этой рекомендации по безопасности Azure Well-Architected Framework:

SE:02 Обеспечение безопасного жизненного цикла разработки с помощью защищенной, в основном автоматизированной и проверяемой цепочки поставок программного обеспечения. Включите безопасную структуру с помощью моделирования угроз для защиты от реализаций, которые побеждают безопасность.

Связанное руководство. Рекомендации по защите жизненного цикла разработки

Комплексный анализ для выявления угроз, атак, уязвимостей и мер противодействия имеет решающее значение во время этапа разработки рабочей нагрузки. Моделирование угроз — это инженерное упражнение, включающее определение требований к безопасности, выявление и устранение угроз, а также проверку этих мер. Этот метод можно использовать на любом этапе разработки приложений или рабочей среды, но он наиболее эффективен на этапах разработки новых функциональных возможностей.

В этом руководстве описываются рекомендации по моделированию угроз, позволяющие быстро выявлять пробелы в безопасности и разрабатывать защиту безопасности.

Определения 

Срок Определение
Жизненный цикл разработки программного обеспечения (SDLC) Многоэтапный, систематический процесс разработки программных систем.
STRIDE Таксономия, определяемая корпорацией Майкрософт, для классификации типов угроз.
Моделирование угроз Процесс выявления потенциальных уязвимостей безопасности в приложении и системе, устранения рисков и проверки элементов управления безопасностью.

Основные стратегии проектирования

Моделирование угроз является важным процессом, который организация должна интегрировать в sdLC. Моделирование угроз не является исключительно задачей разработчика. Это общая ответственность между:

  • Группа рабочей нагрузки, которая отвечает за технические аспекты системы.
  • Заинтересованные лица бизнеса, которые понимают бизнес-результаты и заинтересованы в безопасности.

Между руководством организации и техническими командами часто возникают разночтения в отношении бизнес-требований для критически важных рабочих нагрузок. Это отключение может привести к нежелательным результатам, особенно для инвестиций в безопасность.

Когда команда рабочей нагрузки выполняет упражнение по моделированию угроз, она должна учитывать как бизнес-требования, так и технические требования. Группа рабочей нагрузки и заинтересованные лица бизнеса должны согласиться с потребностями в области безопасности рабочей нагрузки, чтобы они могли внести надлежащие инвестиции в контрмеры.

Требования к безопасности служат руководством для всего процесса моделирования угроз. Чтобы сделать это эффективным упражнением, команда рабочей нагрузки должна иметь мышление по безопасности и обучаться в средствах моделирования угроз.

Общие сведения о области упражнения

Четкое понимание области имеет решающее значение для эффективного моделирования угроз. Это помогает сосредоточить усилия и ресурсы на наиболее важных областях. Эта стратегия включает определение границ системы, инвентаризацию активов, которые необходимо защитить, и понимание уровня инвестиций, необходимых для контроля безопасности.

Сбор сведений о каждом компоненте

Схема архитектуры рабочей нагрузки — это отправная точка для сбора информации, так как она предоставляет визуальное представление системы. На схеме выделены технические измерения системы. Например, он показывает потоки пользователей, как данные перемещаются по сети, уровням конфиденциальности данных и типам информации, а также путям доступа к удостоверениям.

Этот подробный анализ часто может дать представление о потенциальных уязвимостях в проектировании. Важно понимать функциональные возможности каждого компонента и его зависимостей.

Оценка потенциальных угроз

Анализ каждого компонента из внешней точки зрения. Например, как легко злоумышленник может получить доступ к конфиденциальным данным? Если злоумышленники получают доступ к среде, могут ли они перемещаться позже и потенциально получать доступ или даже управлять другими ресурсами? Эти вопросы помогают понять, как злоумышленник может использовать ресурсы рабочей нагрузки.

Классификация угроз с помощью отраслевой методологии

Одной из методологий классификации угроз является STRIDE, которая используется жизненным циклом разработки безопасности Майкрософт. Классификация угроз помогает понять характер каждой угрозы и использовать соответствующие средства управления безопасностью.

Устранение угроз

Задокументируйте все выявленные угрозы. Для каждой угрозы определите элементы управления безопасностью и ответ на атаку, если эти элементы управления завершаются ошибкой. Определите процесс и временную шкалу, которые свести к минимуму воздействие на обнаруженные уязвимости в рабочей нагрузке, чтобы эти уязвимости не могли быть оставлены без решения.

Используйте подход к нарушению. Он может помочь определить элементы управления, необходимые в проектировании, чтобы снизить риск, если основной элемент управления безопасностью завершается сбоем. Оцените вероятность сбоя основного элемента управления. Если это не удается, какова степень потенциального риска организации? Кроме того, какова эффективность компенсирующего контроля? На основе оценки примените подробные меры защиты для решения потенциальных сбоев элементов управления безопасностью.

Приведем пример:

Задайте этот вопрос. Чтобы определить элементы управления, которые...
Являются ли подключения, прошедшие проверку подлинности через идентификатор Microsoft Entra ID, transport Layer Security (TLS) с взаимной проверкой подлинности или другим современным протоколом безопасности, утвержденным командой безопасности:

— Между пользователями и приложением?

— Между компонентами приложения и службами?
Запретить несанкционированный доступ к компонентам приложения и данным.
Ограничивается ли доступ только к учетным записям, которые должны записывать или изменять данные в приложении? Предотвращают несанкционированное изменение данных.
Регистрируются ли действия приложения и передаются в систему управления сведениями о безопасности и событиями (SIEM) через Azure Monitor или аналогичное решение? Быстро выявляют и исследуют атаки.
Защищены ли критически важные данные с помощью шифрования, утвержденного командой безопасности? Предотвращают несанкционированное копирование неактивных данных.
Шифруются ли входящий и исходящий сетевой трафик через TLS? Предотвращают несанкционированное копирование передаваемых данных.
Защищает ли приложение от распределенных атак типа "отказ в обслуживании" (DDoS) через службы, такие как Защита от атак DDoS Azure? Обеспечивают защиту от атак, направленных на перегрузку приложения, чтобы его нельзя было использовать.
Имеет ли хранилище приложений учетные данные входа или ключи для доступа к другим приложениям, базам данных или службам? Определяют, может ли атака использовать ваше приложение для атаки на другие системы.
Позволяют ли элементы управления приложениями выполнять нормативные требования? Защитите частные данные пользователей и избегайте штрафов на соответствие требованиям.

Отслеживание результатов моделирования угроз

Настоятельно рекомендуется использовать средство моделирования угроз. Средства могут автоматизировать процесс выявления угроз и создать полный отчет обо всех выявленных угрозах. Не забудьте сообщить результаты всем заинтересованным командам.

Отслеживайте результаты в рамках невыполненной работы группы рабочей нагрузки, чтобы обеспечить своевременность подотчетности. Назначьте задачи отдельным лицам, которые отвечают за устранение определенного риска, определяемого моделированием угроз.

При добавлении новых функций в решение обновите модель угроз и интегрируйте ее в процесс управления кодом. Если вы нашли проблему безопасности, убедитесь, что существует процесс для рассмотрения проблемы на основе серьезности. Процесс должен помочь определить, когда и как устранить проблему (например, в следующем цикле выпуска или в более быстром выпуске).

Регулярно проверяйте требования к критически важным для бизнеса рабочим нагрузкам

Регулярно отвечайте исполнительным спонсорам, чтобы определить требования. Эти проверки обеспечивают возможность выравнивания ожиданий и обеспечения распределения операционных ресурсов в рамках инициативы.

Упрощение функций Azure

Жизненный цикл разработки безопасности Майкрософт предоставляет средство моделирования угроз для поддержки процесса моделирования угроз. Этот инструмент предоставляется бесплатно. Дополнительные сведения см. на странице моделирования угроз.

Пример

В этом примере используется среда ИТ-технологий, созданная в базовом плане безопасности (SE:01). Этот подход обеспечивает широкое понимание ландшафта угроз в разных ИТ-сценариях.

Схема, демонстрирующая пример базовых показателей безопасности организации с ландшафтом угроз.

  1. Лица жизненного цикла разработки. Существует множество лиц, участвующих в жизненном цикле разработки, включая разработчиков, тестировщиков, конечных пользователей и администраторов. Все они могут быть скомпрометированы и подвержены риску вашей среды через уязвимости или угрозы, созданные намеренно.

  2. Потенциальные злоумышленники. Злоумышленники считают широкий спектр средств, которые можно легко использовать в любое время для изучения уязвимостей и запуска атаки.

  3. Элементы управления безопасностью. В рамках анализа угроз определите службы безопасности Azure, которые будут использоваться для защиты решения и того, насколько эффективными являются эти решения.

  4. Коллекция журналов. Журналы из ресурсов Azure и некоторые локальные компоненты могут отправляться в Azure Log Analytics, чтобы вы могли понять поведение решения, разработанного и попытаться записать первоначальные уязвимости.

  5. Решение для управления событиями безопасности (SIEM). Microsoft Sentinel может быть добавлен даже на ранней стадии решения, чтобы можно было создавать некоторые аналитические запросы для устранения угроз и уязвимостей, ожидая среды безопасности при создании рабочей среды.

  6. Microsoft Defender для облака может сделать некоторые рекомендации по обеспечению безопасности для улучшения состояния безопасности.

Организация Open Web Application Security Project (OWASP) задокументировала подход к моделированию угроз для приложений.

Контрольный список по безопасности

Ознакомьтесь с полным набором рекомендаций.