web-dev-qa-db-ja.com

軽量の脅威モデリングフレームワークを見つけるのに役立つ

私たちは小さな会社であり、ヘビーウェイトの脅威のモデリングに専念できるリソースがありません。ただし、かなり軽量な脅威モデリングフレームワークを見つけることができた場合、演習で浮上したデータフローと脆弱性を文書化することに価値があると思います。

私はSTRIDEを最も詳しく調べましたが、データフローダイアグラム(DFD)に関しては、行き詰まっています。おそらく、アプリケーションが既にビルドされていて、おそらく属していない特徴を含んでいるようです。

私も Threat Modeling Express を見つけましたが、演習を支援する開発の時間を得るのは簡単ではありません。

理想的には、一人で少しずつ作業できるものです。私はさまざまな視点を持つことの価値を理解していますが、皆が忙しいので、現時点ではおそらく現実的ではありません。

アプリケーションが構築されているため、脅威モデリングにはまだ価値がありますか?アプリを定期的にw3afまたはniktoに向けて、脆弱性を修正する必要がありますか?

要するに、脅威を発見するという点で、小企業にとっての投資の最高の強みは何ですか?リソースの適度な投資で実用的な結果をもたらすモデルまたはフレームワークはどれですか?

TIA

26
Jason

脅威モデリングは、実際に機能するものと機能しないものを学習した後の経験に基づくスキルです。
フレームワークを選択することで物事がはるかに簡単になるとは思いません。現在と同じ問題と困難がまだあります。

それどころか、開始に適した場所としてSTRIDE-per-elementを推奨し、後で必要に応じて追加のテクニックを追加します。

脅威のモデリングを効率的に行うには、howへのポインタが必要なだけの可能性が高いです。

私のおすすめ:

  • 脅威モデリングの演習全体を最初に、それを行う方法を知っている経験豊富な誰かと一緒に実行します。これが数時間社外コンサルタントを雇うことを意味する場合でも。
  • DFDが推奨される理由の1つは、DFDがすでに存在していることが多いためです。誰かがこれら、あるいは似たようなものを持っているかどうかを試してみてください。
  • DFDのもう1つの理由は、DFDが比較的単純になる可能性があるためです。特徴点に行き詰まったと言う場合は、ズームアウトして、DFDをレイヤー0またはレイヤー1に維持します。
  • 高レベルの概要、モジュール間のフロー、および信頼境界を越えたフローに焦点を当てることを忘れないでください。実装にドリルダウンする必要はありません(どのように機能するかを理解している開発者/アーキテクトを巻き込んでも、追加のマッピングが必要な興味深いポイントを発見するのに役立ちます。)詳細に夢中にならないでください!
  • マイクロソフトには、脅威のモデリングに役立つ2つの異なるツール、TAMとSDL TMがあります。これらはさまざまなOutlookとサブメソドロジに基づいており、そのうちの1つは「ウィザード」のようなアプリとして機能します。私はSDL TMをずっと好みます。
  • 一度にすべてを取得するのではなく、アプリケーションの1つのモジュール/セクションにTMを集中することを検討してください。
  • TMの実行中は、解決策を探しているわけではないことに注意してください。これにより、TMの作業をすばやく回避できます。
  • 理想的には、すべての利害関係者(アーキテクチャー/製品管理/開発/ QA /運用...)からの視点と入力があるはずですが、現実的には、多くの組織では不可能です。代わりに、少し時間を集中してください。それぞれの代表者とともに、モデルの具体化に役立つ特定の質問を提起します。 DFDやその他の図がなく、自分で作成した場合、そのフィードバックを入手してください。多くの場合、それを提供してくれたことに感謝します。

最後に追加の質問として、TMに関するいくつかの追加の考え:
適切なWebアプリスキャナーをサーバーに向けるだけで、間違いなく簡単になります。ただし、TMの方がはるかに効果的であり、長期的には効率もよくなると思います(さまざまな理由により、トピックは異なります)。
アプリはすでに存在していますが、戻って分析することは依然として価値があります-簡単になるもの(当て推量が少ない)、うまくいかないものもありますが、欠陥の種類興味深いです。これは、ビジネスに当てはまらない技術だけでなく、特定の問題に戻って修正するのに役立つものです。そして最悪の場合、システム全体を大量にテストするのではなく、「もっと」「興味深い」領域にテストを集中させることができます。


TMの実行方法を他の人に教えるときに過去に参考にしたいくつかのリンク:

12
AviD

Verisonには、業界とともに開発したオープンフレームワークがあります。非常に軽量で、脅威のモデリングに使用すると便利です。コミュニティのドキュメントは https://verisframework.wiki.zoho.com/ にあります。

0
ralfe

マイクロソフトには、STRIDE/DREAD情報の多くと、脅威と対策のベストプラクティスによる脅威への対策を組み込んだ脅威分析およびモデリングツールがありました。

そこにいくつかの方法論とツール:

Microsoft Threat Modeling-詳細な脅威モデルを構築するために必要な熟練したセキュリティアナリストがいる技術/エンジニアリング中心のようです。 AGILE環境では、スケーリングが問題になる可能性があります。

PASTA(攻撃シミュレーションと脅威分析のプロセス)-これが見つかりました ここ 。この方法論は、開発者を含むSDLCのすべての利害関係者を巻き込むようです。

Trike-リスクを視野に入れて脅威をモデリング。

ツール

  • Microsoft TAM
  • MyAppSecurity ThreatModeler
  • トライクオクトトライク
  • 実用的な脅威分析
0
Epoch Win