طبقه بندی محتوا : تخصصی
مخاطب: متخصصین حوزه امنیت سایبری
اریک بیز (Eric Baize)مدیر بخش امنیت نرم افزار در شرکت Dell و رئیس شرکت SAFE Code، یک بار در توییتر خود نوشت:
استفاده از تست نفوذ به عنوان تنها استراتژی امنیت نرم افزار مانند استفاده از تست های بارداری برای پیش گیری از بارداری است.
تا اینجای کار می دانید که مدل سازی تهدید روشی برای انجام طراحی امن(ایمن) است. البته این به این معنا نیست که تستهای نفوذ لازم نیستند - قطعاً ضروری هستند ! اما آنها هدف متفاوتی دارند .
با نگاهی به سه بعد می توانیم تفاوت های بین مدل سازی تهدید و تست نفوذ را توضیح دهیم:
✅ زمان بندی(Timing):
مدل سازی تهدید ترجیحا در طول فاز طراحی سیستم انجام می شود (اگرچه هرگز برای انجام آن دیر نیست). تست نفوذ در طول توسعه یا حداقل قبل از انتشار انجام میشود ( لطفا ابتدا منتشر نکنید و سپس محصول منتشر شده را تست نفوذ کنید ) .
✅ اهداف(Objectives):
مدل سازی تهدید از منظر "جعبه سفید" طراحی امنیتی را مدیریت می کند و از نقص های طراحی جلوگیری می کند و در مقابل، تست های نفوذ انعطاف پذیری واقعی برنامه را - معمولا از دیدگاه جعبه سیاه - مورد آزمایش قرار می دهد.
✅ نتیجه(Outcome):
مدل سازی تهدید منجر به فهرستی از تغییرات طراحی می شود که باید در طراحی درنظر گرفته شود و تست نفوذ لیستی از رفع اشکال را ایجاد می کند.
هر دوی آن ها ریسک را نشان می دهند که نیازمند اقدامات مدیریت ریسک است.
✅ تفاوت بین نقص های طراحی و باگ ها چیست؟
1.خطاهای طراحی در طراحی هستند . آنها از فقدان الزامات امنیتی ( طراحی بد ) , فقدان دانش طراحی ایمن ( طراح بد ) ناشی میشوند . برای درک این کاستیها , به دانش زمینهای نیاز دارید . این همان چیزی است که شما در طول یک کارگاه مدل سازی تهدید یاد می گیرید.
2.باگ ها خطاهای کدنویسی هستند. ممکن است طراحی خوب باشد، اما خطاهای اتفاقی (کدنویسی بد) یا فقدان شیوه های کدنویسی امن (کدنویس بد)می تواند منجر به آسیب پذیری شود.
✅ سخن پایانی:
✅ترجمه ای آزاد از مقاله زیر: