Threat Modeling
Tehdit Modelleme
HackTricks'in Tehdit Modelleme üzerine kapsamlı kılavuzuna hoş geldiniz! Bu kritik siber güvenlik alanını keşfetmeye başlayın; burada bir sistemdeki potansiyel zayıflıkları tanımlıyor, anlıyor ve bunlara karşı stratejiler geliştiriyoruz. Bu konu, gerçek dünya örnekleri, yararlı yazılımlar ve kolay anlaşılır açıklamalarla dolu adım adım bir kılavuz olarak hizmet vermektedir. Hem acemiler hem de siber güvenlik savunmalarını güçlendirmek isteyen deneyimli uygulayıcılar için idealdir.
Yaygın Olarak Kullanılan Senaryolar
Yazılım Geliştirme: Güvenli Yazılım Geliştirme Yaşam Döngüsü (SSDLC) kapsamında, tehdit modelleme, geliştirme sürecinin erken aşamalarında potansiyel zayıflık kaynaklarını tanımlamaya yardımcı olur.
Penetrasyon Testi: Penetrasyon Testi Uygulama Standardı (PTES) çerçevesi, testi gerçekleştirmeden önce sistemin zayıflıklarını anlamak için tehdit modellemesi gerektirir.
Tehdit Modeli Kısaca
Bir Tehdit Modeli genellikle bir diyagram, resim veya bir uygulamanın planlanan mimarisini veya mevcut yapısını gösteren başka bir görsel illüstrasyon olarak temsil edilir. Bu, bir veri akış diyagramı ile benzerlik gösterir, ancak ana farkı güvenlik odaklı tasarımıdır.
Tehdit modelleri genellikle potansiyel zayıflıkları, riskleri veya engelleri simgeleyen kırmızı ile işaretlenmiş unsurlar içerir. Risk tanımlama sürecini kolaylaştırmak için CIA (Gizlilik, Bütünlük, Erişilebilirlik) üçlüsü kullanılır ve bu, birçok tehdit modelleme metodolojisinin temelini oluşturur; STRIDE en yaygın olanlardan biridir. Ancak, seçilen metodoloji belirli bağlama ve gereksinimlere bağlı olarak değişebilir.
CIA Üçlüsü
CIA Üçlüsü, bilgi güvenliği alanında yaygın olarak tanınan bir modeldir ve Gizlilik, Bütünlük ve Erişilebilirlik anlamına gelir. Bu üç sütun, birçok güvenlik önlemi ve politikasının temelini oluşturur, bunlar arasında tehdit modelleme metodolojileri de bulunmaktadır.
Gizlilik: Verilerin veya sistemin yetkisiz kişiler tarafından erişilmemesini sağlamak. Bu, veri ihlallerini önlemek için uygun erişim kontrolleri, şifreleme ve diğer önlemleri gerektiren güvenliğin merkezi bir yönüdür.
Bütünlük: Verilerin yaşam döngüsü boyunca doğruluğu, tutarlılığı ve güvenilirliği. Bu ilke, verilerin yetkisiz taraflarca değiştirilmediğini veya müdahale edilmediğini garanti eder. Genellikle kontrol toplamları, hashleme ve diğer veri doğrulama yöntemlerini içerir.
Erişilebilirlik: Bu, verilerin ve hizmetlerin gerektiğinde yetkili kullanıcılar tarafından erişilebilir olmasını sağlar. Bu genellikle sistemlerin kesintilere rağmen çalışmaya devam etmesi için yedeklilik, hata toleransı ve yüksek erişilebilirlik yapılandırmalarını içerir.
Tehdit Modelleme Metodolojileri
STRIDE: Microsoft tarafından geliştirilen STRIDE, Sahtecilik, Müdahale, Reddetme, Bilgi Sızdırma, Hizmet Reddi ve Yetki Yükseltme için bir kısaltmadır. Her kategori bir tehdit türünü temsil eder ve bu metodoloji, potansiyel tehditleri tanımlamak için bir program veya sistemin tasarım aşamasında yaygın olarak kullanılır.
DREAD: Bu, tanımlanan tehditlerin risk değerlendirmesi için kullanılan başka bir Microsoft metodolojisidir. DREAD, Zarar Potansiyeli, Yeniden Üretilebilirlik, Sömürülebilirlik, Etkilenen Kullanıcılar ve Keşfedilebilirlik anlamına gelir. Bu faktörlerin her biri puanlanır ve sonuç, tanımlanan tehditlerin önceliklendirilmesinde kullanılır.
PASTA (Saldırı Simülasyonu ve Tehdit Analizi Süreci): Bu, yedi adımlı, risk merkezli bir metodolojidir. Güvenlik hedeflerini tanımlama ve belirleme, teknik kapsam oluşturma, uygulama ayrıştırma, tehdit analizi, zayıflık analizi ve risk/triage değerlendirmesini içerir.
Trike: Bu, varlıkları savunmaya odaklanan bir risk temelli metodolojidir. Risk yönetimi perspektifinden başlar ve tehditler ile zayıflıkları bu bağlamda inceler.
VAST (Görsel, Çevik ve Basit Tehdit Modelleme): Bu yaklaşım, daha erişilebilir olmayı hedefler ve Çevik geliştirme ortamlarına entegre olur. Diğer metodolojilerden unsurlar birleştirir ve tehditlerin görsel temsillerine odaklanır.
OCTAVE (Operasyonel Kritik Tehdit, Varlık ve Zayıflık Değerlendirmesi): CERT Koordinasyon Merkezi tarafından geliştirilen bu çerçeve, belirli sistemler veya yazılımlar yerine kurumsal risk değerlendirmesine yöneliktir.
Araçlar
Tehdit modellerinin oluşturulması ve yönetilmesi konusunda yardımcı olabilecek birkaç araç ve yazılım çözümü mevcuttur. İşte göz önünde bulundurabileceğiniz bazıları.
Siber güvenlik profesyonelleri için gelişmiş, çok platformlu ve çok özellikli bir GUI web örümceği/kraker. Spider Suite, saldırı yüzeyi haritalama ve analiz için kullanılabilir.
Kullanım
Bir URL Seçin ve Tarayın
Grafiği Görüntüleyin
OWASP'tan açık kaynak bir proje olan Threat Dragon, sistem diyagramları ile birlikte tehditler/azaltmalar otomatik olarak oluşturmak için bir kural motoru içeren hem web hem de masaüstü uygulamasıdır.
Kullanım
Yeni Proje Oluşturun
Bazen şöyle görünebilir:
Yeni Projeyi Başlatın
Yeni Projeyi Kaydedin
Modelinizi Oluşturun
İlham almak için SpiderSuite Crawler gibi araçları kullanabilirsiniz, temel bir model şöyle görünebilir:
Varlıklar hakkında biraz açıklama:
Süreç (Web sunucusu veya web işlevselliği gibi varlık)
Aktör (Bir Web Sitesi Ziyaretçisi, Kullanıcı veya Yönetici gibi bir kişi)
Veri Akış Hattı (Etkileşim Göstergesi)
Güven Sınırı (Farklı ağ segmentleri veya kapsamlar.)
Depo (Verilerin saklandığı yerler, örneğin Veritabanları)
Bir Tehdit Oluşturun (Adım 1)
Öncelikle bir tehdidi eklemek istediğiniz katmanı seçmelisiniz.
Şimdi tehdidi oluşturabilirsiniz.
Aktör Tehditleri ile Süreç Tehditleri arasında bir fark olduğunu unutmayın. Eğer bir Aktöre tehdit eklerseniz, yalnızca "Sahtecilik" ve "Reddetme" seçeneklerini seçebilirsiniz. Ancak örneğimizde bir Süreç varlığına tehdit eklediğimiz için tehdit oluşturma kutusunda bunu göreceğiz:
Tamam
Artık bitmiş modeliniz şöyle görünmelidir. Ve OWASP Threat Dragon ile basit bir tehdit modeli nasıl oluşturulur.
Bu, yazılım projelerinin tasarım aşamasında tehditleri bulmaya yardımcı olan Microsoft'tan ücretsiz bir araçtır. STRIDE metodolojisini kullanır ve özellikle Microsoft'un yığınında geliştirme yapanlar için uygundur.
Last updated