web-dev-qa-db-ja.com

脅威のリスクを分析するために脅威エージェントを決定する方法は?

脅威のリスク評価を行う場合、リスク評価に最適な脅威エージェントを見つけるにはどうすればよいですか?

たとえば、脅威に関連する脆弱性を持つアセットは、DMZの背後にある内部ネットワークにある可能性があります。

この場合、この脅威のリスクを分析するために私が考えることができる可能性のある脅威因子のいくつかは次のとおりです。

  1. 犯罪者ハッカー(外部)
  2. 犯罪組織(外部)
  3. インサイダー従業員
  4. Insider Operational Employee(Sysadmin/Developer)
  5. 等...

私の資産の脆弱性がローカルネットワークでのみアクセスできる場合、最初の2つの脅威エージェントがローカルネットワークへのアクセスを取得するために内部ネットワークのセキュリティを何らかの方法で破壊したと想定する必要があります。

しかし、インサイダー従業員とインサイダー運用従業員は、私の資産の脆弱性にアクセスするためにローカルネットワークにアクセスするために別の脆弱性を悪用する必要があると想定する必要はありません。外部の攻撃者のように、攻撃を行うための前提条件は必要ありません。

したがって、一方では、この脅威のリスクを評価するために必要な手順を実行する必要のない脅威エージェントを検討する方がよいように思えます。

しかし、私がリスク評価を試みているのはこれが初めてです。したがって、何が正しいのかわかりません。だから、私は正しい方向についてのガイダンスをいただければ幸いです。

threat-modelingthreats
2
Manjula

何よりもまず、アプリケーションのビジネス目標を考慮する必要があります。ビジネス目標を決定した後でのみ、脅威エージェントを定義できます。脅威エージェントの動機について話し合ってください。つまり、国家または国家がアプリケーションを攻撃する可能性はありますか?スクリプトキッドがアプリケーションを攻撃する可能性はありますか?なぜそしてなぜ?

最初の脅威モデリング演習では、簡単に始めるために、1〜2種類の可能性のある脅威エージェントから簡単に始めることをお勧めします。ただし、完全な脅威モデリングでは、可能性のある脅威エージェントをそれぞれ検討し、脅威エージェントごとに完全なアプリケーションを反復処理する必要があります。

リストの例の補足として、意図しない人間の攻撃を忘れないでください。Googleを使用すれば、脅威エージェントのリストを簡単に入手できます。

私は個人的にこの脅威モデリングのためにこのビデオが好きです: https://www.youtube.com/watch?v=We2cy8JwVqc

2
Anders Nordin

あなたはこれを避けたいです。これは間違いの原因であり、回避できます。

たとえば、ローカルネットワークからのみシステムにアクセスでき、修正がベンダーからのパッチを適用することである場合、最初の部分はおそらく問題ではありません。安いのでパッチを適用したい。

第二に、攻撃者がエクスプロイトを含むドキュメントを送信するなどしてファイアウォールを迂回する確率は非常に優れています。ファイアウォールの内側でウイルスの事件が発生したことがある場合、それはいくぶん多孔性であることがわかりました。企業は、ファイアウォールを信頼することから、通常「ゼロ信頼」とラベル付けされたモデルに移行しています。

脅威エージェントについて考えることがしばしば邪魔になる理由について、いくつかのブログ投稿を書きました: http://emergentchaos.com/archives/2016/04/think-like-an-attacker-is-an-opt -in-mistake.htmlhttp://newschoolsecurity.com/2014/11/modeling-attackers-and-their-motives/

1
Adam Shostack