یادداشت های امنیت سایبری
یادداشت های امنیت سایبری
خواندن ۴ دقیقه·۱ سال پیش

مدل سازی تهدید(Threat Modeling) چه چیزی نیست؟

طبقه بندی محتوا : تخصصی
مخاطب: متخصصین حوزه امنیت سایبری

درخت حمله (Attack Tree):

درخت حمله، به توصیف نقص های امنیتی بالقوه ای که ممکن است در سیستم های IT و امنیتی رخ دهد، کمک می کند و به سازمان ها اجازه می دهد تا اقدامات متقابلی در برابر چنین حملاتی ایجاد کنند تا از دستیابی یک عامل تهدید به اهداف خود علیه دارایی یا هدف خاص جلوگیری کنند.

درخت حمله نمودار مفهومی هست که حمله را به شکل درخت نشان می دهد. ریشه درخت هدف حمله است و برگ ها راه هایی برای رسیدن به آن هستند. هر هدف به عنوان یک درخت جداگانه نشان داده می شود، بنابراین تحلیل تهدید سیستم، مجموعه ای از درخت های حمله را تولید می کند. اگر درک درستی از سیستم های کسب و کار خود داشته باشید، استفاده از درخت حمله، واقعاً آسان است. دقت کنید که درخت حمله، روش مدلسازی تهدید نیست.


تحلیل DREAD:

این روش تحلیلی ، روشی است که توسط مایکروسافت توسعه داده شده و اولین بار در سال 2002 توسط دیوید لبلانک و مایکل هاوارد در ویرایش دوم کتاب Secure Code منتشر شد. این روش مدل سازی تهدید نیست، بلکه یک روش ارزیابی ریسک است.

این روش به پنج دسته اصلی تقسیم می شود که می تواند برای ارزیابی هر تهدید استفاده شود:

  • احتمال خسارت(Damage potential): دارایی ها چقدر تحت تاثیر قرار می گیرند؟
  • تکرارپذیری(Reproducibility): چگونه می توان به راحتی حمله را تکرار کرد؟
  • قابلیت بهره بردرای(Exploitability): این حمله چقدر آسان می تواند آغاز شود؟
  • کاربران تحت تاثیر(Affected users): تعداد کاربرانی که تحت تاثیر قرار می گیرند چقدر است؟
  • قابلیت کشف(Discoverability): چگونه می توان به راحتی آسیب پذیری را پیدا کرد؟

DREAD بر ارزیابی ریسک کیفی تمرکز دارد. پس از پرسیدن سوالات بالا، مقادیر (1-3) را برای هر تهدید خاص اختصاص دهید. نتیجه می تواند در محدود 5-15 قرار بگیرد. در ادامه یک نمونه از رتبه بندی DREAD (مایکروسافت. بهبود امنیت برنامه وب، تهدیدها و اقدامات متقابل، ژوئن2003، فصل 3، مدل سازی تهدید) آورده شده است:


هوش تهدید (Threat Intelligence):

یک ابزار هوش تهدید سایبری به شما کمک می کند اطلاعات تهدید را از چندیدن منبع خارجی جمع آوری و تحلیل کنید تا از شرکت/سازمان خود در برابر آسیب پذیری های موجود محافظت کنید و برای آسیب پذیری های آینده آماده شوید.

ابزارهای هوش تهدید سایبری نسل جدید، برای بهبود تاب آوری شرکت و حفاظت در برابر حملات خارجی (علاوه بر حملات داخلی) ضروری هستند. هوش تهدید، سازمان ها را قادر می سازد تا تصمیمات امنیتی سریع­تر، آگاهانه­ تر و مبتنی بر داده بگیرند و رفتار واکنشی خود در مبارزه با بازیگران تهدید را به رفتار فعال تغییر دهند. این روش ، داده های خام را به اطلاعات قابل تفسیر مفید برای تحلیل تبدیل می کند.


سیستم امتیاز دهید آسیب پذیری رایج (CVSS):

CVSS مخفف عبارت Common Vulnerability Scoring System به معنای سیستم امتیاز دهی آسیب پذیری رایج است که یک ماشین حساب محاسبه ریسک است که توسط NIST توسعه یافته است و معمولاً در کنار روش های مدل سازی تهدید مورد استفاده قرار می گیرد.

این چارچوب باز تحت مالکیت و مدیریت FIRST است. FIRST.inc یک سازمان غیرانتفاعی مستقر در ایالات متحده است. این روش مدل سازی تهدید نیست، اما می تواند مکمل فعالیت های مدل سازی تهدید باشد.

CVSS یک سیستم امتیازدهی رایج و استاندارد در پلتفرم های مختلف سایبری و فیزیکی را فراهم می کند. امتیاز CVSS را می توان توسط یک ماشین حساب که به صورت آنلاین در دسترس است، محاسبه کرد.

CVSS به هر آسیب پذیری که در مرحله ارزیابی تهدید کشف می شود، بر اساس معیارهای از پیش تعریف شده ای که به این 3 گروه تقسیم می شود، شدتی (کم-متوسط-زیاد) را اختصاص می دهد:

  • گروه معیار پایه: امتیازات مورد نیاز-دامنه-تعامل کاربر.
  • گروه معیار موقت: بلوغ کد.
  • گروه معیار های محیطی: معیارهای پایه اصلاح شده.

تحلیل ریسک معماری (ARA):

خب ، این یکی اساساً مترادف مدل سازی تهدید است. ARA نقص های امنیتی طراحی را برجسته می کند، ریسک ها را اولویت بندی می کند و کنترل ها را کاهش می دهد.

تجزیه و تحلیل ریسک معماری، پیش شرط هایی که باید برای سوء استفاده از آسیب پذیری ها وجود داشته باشند را بررسی می کند و حالت هایی که سیستم ممکن است پس از بهره برداری وارد آن ها شود را ارزیابی می کند.

مانند هر فرآیند تضمین کیفیت، تست تحلیل ریسک فقط می تواند وجود نقص ها را اثبات کند نه عدم وجود آن ها را.

نتیجه:

روش های مدل سازی تهدید می توانند برای هدایت سازمان ها، در طول مسیر مدل سازی تهدیداتشان بسیار مفید باشند. با این حال چارچوب ها و رویکردهای دیگری وجود دارند که می توانند مکمل این روش ها باشند.

به عنوان مثال ، درخت حمله می تواند برای بررسی هر نوع تهدیدی که توسط سایر چارچوب های مدل سازی تولید یا طبقه بندی شده، استفاده شود و یا استفاده از CVSS می تواند از محاسبه ریسک برای کمک به اولویت بندی فعالیت ها پشتیبانی کند.


✅ترجمه ای آزاد از مقاله زیر:

https://www.iriusrisk.com/resources-blog/things-that-may-look-like-threat-modeling-but-arent


مدل سازی تهدیددرخت حملهcvssهوش تهدیدامنیت سایبری
کم گوی و گزیده گوی چون دُر / تا ز اندک تو جهان شود پُر
شاید از این پست‌ها خوشتان بیاید