Threat Modeling
Threat Modeling
Karibu kwenye mwongozo wa kina wa HackTricks kuhusu Threat Modeling! Anza uchunguzi wa kipengele hiki muhimu cha usalama wa mtandao, ambapo tunatambua, kuelewa, na kupanga mikakati dhidi ya udhaifu unaoweza kutokea katika mfumo. Thread hii inatoa mwongozo wa hatua kwa hatua uliojaa mifano halisi, programu za kusaidia, na maelezo rahisi kueleweka. Inafaa kwa wapya na wataalamu wenye uzoefu wanaotafuta kuimarisha ulinzi wao wa usalama wa mtandao.
Commonly Used Scenarios
Software Development: Kama sehemu ya Mzunguko wa Maisha ya Maendeleo ya Programu Salama (SSDLC), threat modeling husaidia katika kutambua vyanzo vya udhaifu katika hatua za awali za maendeleo.
Penetration Testing: Mfumo wa Kiwango cha Utekelezaji wa Upimaji wa Penetration (PTES) unahitaji threat modeling ili kuelewa udhaifu wa mfumo kabla ya kufanya mtihani.
Threat Model in a Nutshell
Mfano wa Threat Model kawaida huwakilishwa kama mchoro, picha, au aina nyingine ya uwasilishaji wa kuona unaoonyesha usanifu uliopangwa au ujenzi wa sasa wa programu. Inafanana na mchoro wa mtiririko wa data, lakini tofauti kuu iko katika muundo wake unaolenga usalama.
Mifano ya vitisho mara nyingi ina vipengele vilivyowekwa kwa rangi nyekundu, vinavyotambulisha udhaifu, hatari, au vizuizi vinavyoweza kutokea. Ili kurahisisha mchakato wa kutambua hatari, triad ya CIA (Ufaragha, Uaminifu, Upatikanaji) inatumika, ik forming msingi wa mbinu nyingi za threat modeling, huku STRIDE ikiwa moja ya maarufu zaidi. Hata hivyo, mbinu iliyochaguliwa inaweza kutofautiana kulingana na muktadha maalum na mahitaji.
The CIA Triad
Triad ya CIA ni mfano unaotambulika sana katika uwanja wa usalama wa habari, ikisimama kwa Ufaragha, Uaminifu, na Upatikanaji. Nguzo hizi tatu zinaunda msingi ambao hatua nyingi za usalama na sera zimejengwa, ikiwa ni pamoja na mbinu za threat modeling.
Ufaragha: Kuhakikisha kwamba data au mfumo haupatikani kwa watu wasioidhinishwa. Hii ni kipengele cha kati cha usalama, kinachohitaji udhibiti sahihi wa ufikiaji, usimbaji, na hatua nyingine za kuzuia uvunjaji wa data.
Uaminifu: Usahihi, uthabiti, na kuaminika kwa data katika mzunguko wake wa maisha. Kanuni hii inahakikisha kwamba data haibadilishwi au kudhuruwa na wahusika wasioidhinishwa. Mara nyingi inahusisha checksums, hashing, na mbinu nyingine za uthibitishaji wa data.
Upatikanaji: Hii inahakikisha kwamba data na huduma zinapatikana kwa watumiaji walioidhinishwa wanapohitajika. Hii mara nyingi inahusisha redundancy, uvumilivu wa makosa, na usanifu wa upatikanaji wa juu ili kuweka mifumo ikifanya kazi hata wakati wa usumbufu.
Threat Modeling Methodlogies
STRIDE: Iliyoundwa na Microsoft, STRIDE ni kifupi cha Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, and Elevation of Privilege. Kila kundi linawakilisha aina ya tishio, na mbinu hii hutumiwa mara nyingi katika hatua ya kubuni ya programu au mfumo kutambua vitisho vinavyoweza kutokea.
DREAD: Hii ni mbinu nyingine kutoka Microsoft inayotumika kwa tathmini ya hatari ya vitisho vilivyotambuliwa. DREAD inasimama kwa Damage potential, Reproducibility, Exploitability, Affected users, and Discoverability. Kila moja ya mambo haya inapata alama, na matokeo yanatumika kuipa kipaumbele vitisho vilivyotambuliwa.
PASTA (Process for Attack Simulation and Threat Analysis): Hii ni mbinu ya hatua saba, iliyolenga hatari. Inajumuisha kufafanua na kutambua malengo ya usalama, kuunda upeo wa kiufundi, uharibifu wa programu, uchambuzi wa vitisho, uchambuzi wa udhaifu, na tathmini ya hatari/triage.
Trike: Hii ni mbinu inayotegemea hatari inayolenga kulinda mali. Inaanza kutoka mtazamo wa usimamizi wa hatari na inatazama vitisho na udhaifu katika muktadha huo.
VAST (Visual, Agile, and Simple Threat modeling): Mbinu hii inalenga kuwa rahisi zaidi na kuunganishwa katika mazingira ya maendeleo ya Agile. Inachanganya vipengele kutoka mbinu nyingine na inazingatia uwakilishi wa kuona wa vitisho.
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation): Iliyoundwa na Kituo cha Uratibu cha CERT, mfumo huu unalenga tathmini ya hatari ya shirika badala ya mifumo au programu maalum.
Tools
Kuna zana kadhaa na suluhisho za programu zinazopatikana ambazo zinaweza kusaidia katika uundaji na usimamizi wa mifano ya vitisho. Hapa kuna chache unazoweza kuzingatia.
Zana ya kisasa ya GUI ya wavuti ya kuvua/kuvua kwa wataalamu wa usalama wa mtandao. Spider Suite inaweza kutumika kwa ramani na uchambuzi wa uso wa shambulio.
Usage
Chagua URL na Crawl
Tazama Mchoro
Mradi wa chanzo wazi kutoka OWASP, Threat Dragon ni programu ya wavuti na desktop ambayo inajumuisha uchoraji wa mifumo pamoja na injini ya sheria za kuunda vitisho/mipango kiotomatiki.
Usage
Unda Mradi Mpya
Wakati mwingine inaweza kuonekana kama hii:
Anzisha Mradi Mpya
Hifadhi Mradi Mpya
Unda mfano wako
Unaweza kutumia zana kama SpiderSuite Crawler kukupa msukumo, mfano wa msingi unaweza kuonekana kama hii
Tu kidogo ya maelezo kuhusu viumbe:
Mchakato (Kiumbe chenyewe kama vile Webserver au kazi ya wavuti)
Mchezaji (Mtu kama vile Mtembezi wa Tovuti, Mtumiaji au Msimamizi)
Mstari wa Mtiririko wa Data (Kiashiria cha Maingiliano)
Mpaka wa Kuaminika (Sehemu tofauti za mtandao au upeo.)
Hifadhi (Mambo ambapo data zinahifadhiwa kama vile Maktaba)
Unda Tishio (Hatua 1)
Kwanza unapaswa kuchagua safu unayotaka kuongeza tishio
Sasa unaweza kuunda tishio
Kumbuka kwamba kuna tofauti kati ya Vitisho vya Mchezaji na Vitisho vya Mchakato. Ikiwa ungeongeza tishio kwa Mchezaji basi utaweza kuchagua tu "Spoofing" na "Repudiation". Hata hivyo katika mfano wetu tunaongeza tishio kwa kiumbe cha Mchakato hivyo tutaona hii katika kisanduku cha uundaji wa tishio:
Imekamilika
Sasa mfano wako wa kumaliza unapaswa kuonekana kama hii. Na hivi ndivyo unavyofanya mfano rahisi wa tishio na OWASP Threat Dragon.
Hii ni zana ya bure kutoka Microsoft inayosaidia katika kutafuta vitisho katika hatua ya kubuni ya miradi ya programu. Inatumia mbinu ya STRIDE na inafaa hasa kwa wale wanaoendeleza kwenye stack ya Microsoft.
Last updated