谈到风险管理,首先我们应该了解如何评估威胁。
威胁可以根据攻击的类型和目标来分类。STRIDE是微软开发出来对计算机安全威胁进行分类的威胁建模系统。
STRIDE代表:
- 假冒
- 篡改
- 抵赖
- 信息披露
- 拒绝服务
- 提升权限
假冒 即试图通过使用错误的ID访问某个系统。这可以通过使用偷窃来的用户凭证或冒充网络主机来实现。在攻击者作为合法用户或主机成功访问之后,安全控制无法区分攻击者与有效实体,攻击者承担其目标的所有权利及权限。
篡改 是指未经授权对数据进行修改,比如,当它在两台计算机之间的网络中传输或者当它存储在数据库中时。
抵赖 是用户(合法或非法)否认其执行了特定操作或事务的能力。在没有充分审计的情况下,抵赖攻击很难证实。
信息泄密 是指私有数据未经许可而被泄露。比如,用户查看他/她未被授权打开的表格或文件的内容,或监听以明文方式通过网络传递的数据。容易造成信息泄密漏洞的示例包括使用隐藏表单域,在包含数据库连接串和连接细节的Web页面内嵌套注释,以及可能导致内部系统层级向客户端披露的异常处理不足。任何这种信息对攻击者来说都是非常有用的。或者相反
拒绝服务 是指使系统或应用程序不可用的过程。比如,拒绝服务攻击可能通过用消耗所有可用系统资源的请求来轰击服务器,或者通过向服务器传递可使某应用进程崩溃的有缺陷的输入数据。
当受限用户以授权用户的身份获得应用程序的访问权限时,就会出现权限提升。比如,受限攻击者可能会升级他/她的权限级别来破坏并控制得到高度授权的可信的程序或账户。
风险管理
风险的定义是可能影响您的组织目标的潜在威胁。
一旦了解了风险,您就可以使用风险管理技术:
为了降低风险,您需要实施必要的控制措施来缓解风险。这可能包括修改设计或部署,采取避免风险的方式。比如,您可以通过使用指纹鉴定或加密和解密过程传递数据等先进的技术来改善认证系统。风险的降低还可以通过对漏洞利用签名的部分缓解和监控来实现。比如,缩小能够访问易受攻击功能的使用者群体的范围,以及当检测到攻击模式时监控访问日志以生成通告。
还有一种风险管理技术是将潜在损失转移到第三方。比如,添加安全控制,要求用户在收到系统提示时选择安全选项。
如果风险是不可接受的,并且您无法降低或转移风险,您可以选择避免风险。这可以通过去除某一特征或功能来完成。这项技术并不被视为风险管理的常规解决方法。如果您无法降低、转移或避免风险,那么就接受风险。将问题存档并在后期解决它。不要认为风险不可能发生或者攻击者可能找不到问题,就简单地接受风险。
本文由端玛科技编写整理,转载请说明出处。端玛科技是专门从事于应用软件安全风险评估、风险消除、培训、教育和软件安全生命开发周期SDL咨询的软件安全公司,关注我们,学习更多应用安全相关知识。
