Jump to content

Модель СТРАЙД

(Перенаправлено со STRIDE (безопасность) )

STRIDE — модель выявления компьютерной безопасности. угроз [1] разработан Праэритом Гаргом и Лорен Конфельдер из Microsoft . [2] Он обеспечивает мнемонику угроз безопасности в шести категориях. [3]

Угрозы заключаются в следующем:

STRIDE изначально создавался как часть процесса моделирования угроз . STRIDE — это модель угроз, используемая для обоснования и поиска угроз для системы. Он используется совместно с моделью целевой системы, которую можно строить параллельно. Сюда входит полная разбивка процессов, хранилищ данных, потоков данных и границ доверия. [5]

Сегодня эксперты по безопасности часто используют его, чтобы ответить на вопрос: «Что может пойти не так в системе, над которой мы работаем?»

Каждая угроза является нарушением желательного свойства системы:

Угроза Желаемая недвижимость Определение угрозы
Подмена Подлинность Притворяться чем-то или кем-то, кроме себя
Вмешательство Честность Изменение чего-либо на диске, в сети, в памяти или где-либо еще.
Отказ Неотказуемость Утверждение, что вы чего-то не сделали или не несете ответственности; может быть честным или ложным
Раскрытие информации Конфиденциальность Кто-то получает информацию, к которой у него нет доступа
Отказ в обслуживании Доступность Исчерпание ресурсов, необходимых для предоставления услуг
Повышение привилегий Авторизация Разрешение кому-либо делать то, на что он не имеет права

Заметки об угрозах

[ редактировать ]

Отказ является необычным, поскольку представляет собой угрозу с точки зрения безопасности и желательное свойство некоторых систем конфиденциальности, например, « Не для записи системы обмена сообщениями » Голдберга. Это полезная демонстрация напряженности, с которой иногда приходится сталкиваться при анализе проектирования безопасности.

Повышение привилегий часто называют повышением привилегий или повышением привилегий. Они являются синонимами.

См. также

[ редактировать ]
  • Дерево атак – еще один подход к моделированию угроз безопасности, основанный на анализе зависимостей.
  • Кибербезопасность и противодействие
  • DREAD – система классификации угроз безопасности
  • OWASP — организация, занимающаяся повышением безопасности веб-приложений посредством образования.
  • ЦРУ, также известное как AIC [6] [7] – еще одна мнемоника модели безопасности для построения безопасности в ИТ-системах.
  1. ^ Конфельдер, Лорен; Гарг, Прерит (1 апреля 1999 г.). «Угрозы нашей продукции» . Интерфейс Майкрософт . Проверено 13 апреля 2021 г.
  2. ^ Шостак, Адам (27 августа 2009 г.). « Угрозы нашим продуктам » . Блог Microsoft SDL . Майкрософт . Проверено 18 августа 2018 г.
  3. ^ «Модель угроз STRIDE» . Майкрософт . Майкрософт.
  4. ^ Гузман, Аарон; Гупта, Адитья (2017). Справочник по тестированию на проникновение в Интернет вещей: выявление уязвимостей и защита ваших интеллектуальных устройств . Пакт Паблишинг. стр. 34–35. ISBN  978-1-78728-517-0 .
  5. ^ Шостак, Адам (2014). Моделирование угроз: проектирование безопасности . Уайли. стр. 61–64. ISBN  978-1118809990 .
  6. ^ «Основные проблемы кибербезопасности OT: доступность, целостность и конфиденциальность» . tripwire.com . Проверено 20 июля 2022 г.
  7. ^ «Что такое триада ЦРУ? Определение, объяснение и примеры» . WhatIs.com . Проверено 1 мая 2022 г.
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 112b3c0a859fa17fbb2969b2ed074d58__1714131780
URL1:https://arc.ask3.ru/arc/aa/11/58/112b3c0a859fa17fbb2969b2ed074d58.html
Заголовок, (Title) документа по адресу, URL1:
STRIDE model - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)