نوشته‌شده در

زمانی که تهدیدها را تجزیه می کنید؟

تیم های توسعه ما در حال کشف کشف تهدید STRIDE هستند، اما یکی از موضوعاتی که باقی مانده است، مربوط به تجزیه تهدید است.

نحوه تحلیل تهدید این است که آن شامل شناسایی تهدیدات قابل اجرا و سپس تعیین نوع حملات (این حملات مانند XSS یا سوء استفاده از جریان کنترل ضعیف طراحی شده) می تواند این تهدیدات را تحقق بخشد.

این تجزیه تهدید پیچیده است، زیرا کیفیت این کار توسط هدف تجزیه و تحلیل، دانش (و حتی چیزی) تعیین می شود به عنوان خلوص نگرشی) گروهی که آنالیز را انجام می دهند، و زمان اختصاص داده شده به این فعالیت است. ما به سرعت "مسائل مربوط به میوه حلق آویز" را تعیین می کنیم، و پس از آن بارها بر روی بردارهای حمله کمتر و کمتر قابل اعتماد تعیین می شود.

روش های قابل قبول برای تعیین شرایط متوقف تجزیه تهدید چیست؟ آیا این یک زمان است؟ سازمانها چگونه این کار را انجام می دهند؟

نوشته‌شده در

الگوهای تهدید مدل؟ – امنیت اطلاعات پشته Exchange

من به دنبال قالب هایی هستم که هنگام استفاده از مدل های تهدید و اسکریپت های تست استفاده می کنند. من قالب های خودم را ساختم اما هر بار که من تهدید می کنم یک سیستم جدید را طراحی می کنم، همیشه سوال بیشتری وجود دارد که قبلا در نظر نگرفته ام. من تعجب می کنم که آیا هر کسی از هر سایت با قالب هایی برای استفاده می داند؟

نوشته‌شده در

کاهش تهدید – خطرات قرار دادن نام منابع منابع آمازون (ARNs) در مخازن VC چیست؟

نام منابع منبع آمازون (ARNs) منحصر به فرد منابع AWS را شناسایی می کند. آمازون نیاز به یک ARN زمانی که شما نیاز دارید یک منبع را به طور یکنواخت در تمام AWS ها، از جمله در سیاست های IAM، سرویس های پایگاه داده Relational Amazon (Amazon RDS) و فراخوانی API ها مشخص کنید.

برخی از نمونه های ARNs: 


 arn: aws: elasticbeanstalk: ما-شرق-1: 123456789012: محیط زیست / برنامه من / MyEnvironment


arn: aws: iam :: 123456789012: کاربر / دیوید


arn: aws: rds: eu-west-1: 123456789012: db: mysql-db


arn: aws: s3 ::: my_corporate_bucket / exampleobject.png

سوال من: اگر این نوع اطلاعات در یک سیستم کنترل نسخه مانند Bitbucket یا Github وجود داشته باشد، خطرات وجود دارد

نوشته‌شده در

آیا یک مدل تهدید کاملا ذهنی است یا می تواند براساس رهنمودهای عینی باشد؟

همه ما می دانیم که در زمینه امنیت همه چیز به مدل تهدید بستگی دارد، که اساسا بدان معنی است که شما باید تعریف کنید چه کسی یا چه چیزی از شما محافظت می کند. اما چه کسی باید این تصمیم را بگیرد و بر اساس کدام هدف؟ از آنجا که شما نمی توانید 19459003 همه چیز را از همه چیز را محافظت کنید، باید تهدیدات بیشتر را انتخاب کنید و روی آن ها تمرکز کنید. اما من فکر می کنم که بدون تصمیم گیری های ذهنی، احتمال احتمال تهدید را ندارم، و نمی دانم آیا روش یا مجموعه ای از بهترین شیوه هایی وجود دارد که می توانند کمک کنند.

من از این سوال می پرسم چون متوجه شدم که من نمی تواند تصمیم بگیرد از چه چیزی محافظت کند. آسان است می گویند "پیوست ها را از فرستندگان مشکوک باز نکنید"، اما تصمیم می گیرد چه کسی مشکوک است و دقیقا چطور؟ این می تواند به عنوان "کسی که در لیست تماس شما نیست" تعریف شود و یا "هر کسی تا زمانی که از [insert your favorite rogue country here] نیست" باشد، اما این به نظر من بسیار منسجم است. اگر من به مرورگر من اعتماد نکنم، ممکن است آن را در داخل VM استفاده کنم، اگر به VM اعتماد نکنم، ممکن است از یک دستگاه air-gapped استفاده کنم، اگر به ماشین اعتماد نکنم … خوب، هرگز به پایان می رسد، بنابراین، دوباره، چه کسی تصمیم می گیرد چه باید بپردازم و بر چه اساس؟ یا به عنوان مثال، چگونه می توانم بدانم اگر حتی از دولت نیز محافظت کنم، اگر احتمالا هدفم باشد؟ این ممکن است مانند یک خط نازک بین یک مدل تهدید و پارانویا وجود داشته باشد اما حداقل پارانوی واقعی میتواند تشخیص دهد. دکتر برخی از علائم را در یک کتاب رسمی بررسی می کند و تصمیمات را بر اساس آن (یا حداقل باید) تعیین کند. به طور مشابه، اگر یک روش عینی برای تعریف مدل های تهدید وجود داشته باشد، پزشک کتاب خود را باز می کند و مانند آن خواهد بود: "بله، چین به طور رسمی به عنوان کشور سرکش به عنوان infosec در نظر گرفته، بنابراین در این مورد شما باید قطعا ایمیل را رد کنید از آنجا "و یا" نه، در وضعیت شما فقط باید نرم افزار را در بازپرداخت رسمی توزیع خود اعتماد کنید؛ اگر به آن اعتماد نکنید، ممکن است پارانوئید باشید و ممکن است این قرص ها را مصرف کنید. "