Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



06.12.2018

Niższe moce

UPS Eaton 9SX
03.12.2018

Monitory dla MŚP

AOC E1
29.11.2018

Wykrycie szkodliwego...

Sophos Intercept X Advanced
27.11.2018

Automatyzacja zabezpieczeń

Red Hat Ansible Automation
23.11.2018

Nieograniczona skalowalność

SUSE Enterprise Storage 5.5
20.11.2018

Dwa procesory Threadripper

AMD Ryzen Threadripper 2970WX i 2920X
16.11.2018

Dla biznesu i edukacji

Optoma 330USTN
13.11.2018

Superszybki dysk SSD

Patriot Evolver
09.11.2018

Ograniczenie kosztów

Canon imageRUNNER ADVANCE 525/615/715

Microsoft Threat Modeling Tool 2016

Data publikacji: 25-07-2018 Autor: Piotr Michałkiewicz
RYS. 1. DIAGRAMY DFD (DATA...

Obserwując tempo zmian we współczesnym świecie, można powiedzieć, że nadeszły czasy, kiedy faktycznie zmiana jest codziennością, a zarządzanie zmianą stało się jednym z zadań współczesnego menedżera. Zwłaszcza menedżera odpowiedzialnego za obszar technologii teleinformatycznej oraz bezpieczeństwa. 

 

Czynnikiem napędzającym zmiany są nie tylko nowe wymagania biznesu dotyczące funkcjonalności poszczególnych usług i rozwiązań. Istotnym czynnikiem są przede wszystkim nowe regulacje, które od czasu do czasu powodują trzęsienie ziemi w świecie IT, np. ogólne rozporządzenie o ochronie danych (rodo) czy też dyrektywa dotycząca bezpieczeństwa sieci i systemów informatycznych (NIS). 
 
Jak to często bywa z regulacjami, dostosowywanie systemów informatycznych do ich wymagań zwykle odkładane jest na ostatnią chwilę. Wpływa to na wzrost szybkości ich wytwarzania, zwykle kosztem jakości. Z biznesowego punktu widzenia najważniejsza jest funkcjonalność, jednak zbyt duża szybkość wytwarzania jest przyczyną popełnianych błędów, które następnie przekładają się na występowanie podatności. Tymczasem niezawodność i bezpieczeństwo systemów informatycznych obecnie pełni ważną rolę i ma zasadnicze znaczenie zarówno dla działalności gospodarczej, jak i społecznej.
 
> MICROSOFT SDL I THREAT MODELING TOOL 2016
 
Niezwykle istotne jest systematyczne podejście do uwzględniania bezpieczeństwa na każdym etapie wytwarzania oprogramowania. Na rynku dostępnych jest wiele metodologii stosowanych w tym zakresie. Jedną z nich, szczególnie ukierunkowaną na bezpieczeństwo, jest metodologia Microsoft Security Development Lifecycle (SDL). Uwzględnia ona bezpieczeństwo na wszystkich etapach procesu rozwoju oprogramowania, a jej głównym celem jest zmniejszenie liczby luk w oprogramowaniu, poprzez wsparcie zespołów biorących udział w procesie jego tworzenia oraz zminimalizowanie kosztów wytwarzania. Znacznie mniej kosztowne jest bowiem uwzględnienie kwestii bezpieczeństwa w fazie projektowania niż pod koniec prac nad projektem (nie wspominając o kosztach usuwania luk w oprogramowaniu po udanym ataku). Metodologia ta nie dotyczy tylko programistów. W ramach zespołów związanych z wytwarzaniem oprogramowania można wyróżnić szereg ról związanych z obszarem bezpieczeństwa, m.in. audytorów, doradców, ekspertów i koordynatorów.
 
SDL składa się z ciągu działań pogrupowanych w siedem faz. Stanowią one tzw. działania obowiązkowe, które muszą zostać wykonane, żeby zachować zgodność z SDL. Nic jednak nie stoi na przeszkodzie, żeby w razie potrzeby dodać własne działania. W ramach SDL Microsoft dostarcza nie tylko dobrych praktyk, ale także narzędzi wspierających określone działania. Do tej grupy zalicza się m.in. aplikacja do modelowania zagrożeń – Microsoft Threat Modeling Tool 2016 (TMT 2016). 
 
Modelowanie zagrożeń to jedno z kluczowych działań w SDL, które wykonywane jest w fazie projektowania. Nie jest ono łatwe. Wymaga znajomości wielu zagadnień, m.in. identyfikacji i klasyfikacji zagrożeń. Z pewnością eksperci z tym sobie poradzą, ale co mają zrobić osoby, niebędące ekspertami w tym zakresie? I tu właśnie pojawia się Microsoft TMT 2016, aplikacja wspomagająca cały proces modelowania zagrożeń, która ułatwi pracę zarówno mniej zaawansowanym projektantom, jak i ekspertom. Zwłaszcza w przypadku prac nad dużymi i skomplikowanymi systemami internetowymi.
 
> DIAGRAMY DFD I KLASYFIKACJA ZAGROŻEŃ STRIDE
 
TMT 2016 do modelowania zagrożeń używa diagramów DFD (Data Flow Diagram), które są graficzną reprezentacją przepływu danych w systemie oraz procesów go przetwarzających. W przypadku diagramów DFD powstało kilka notacji graficznych. Rys. 1 przedstawia notację graficzną używaną przez Microsoft, która obejmuje następujące komponenty:
 
  • Process – odpowiada za transformację danych, przekształca dane wejściowe w wyjściowe, odzwierciedla funkcje realizowane przez system, np. usługi systemowe, demony, biblioteki DLL;
  • Interactor – element, który nie jest kontrolowany przez modelowany system, np. ludzie lub procesy zewnętrzne;
  • Data Store – magazyny danych, np. bazy danych, pliki, pamięć podręczna;
  • Data Flow – reprezentuje przepływ danych pomiędzy innymi elementami, np. komunikacja sieciowa, zdalne wywoływanie procedur;
  • Boundary – określa granicę przywilejów, poprzez przecięcie przepływu danych sygnalizuje przejście danych pomiędzy obszarami o różnych poziomach zaufania, np. gdy użytkownik o niskich uprawnieniach komunikuje się z procesem o wysokim poziomie uprawnień lub oddziela tryb pracy jądra systemu od kodu działającego w trybie użytkownika. Elementy tego typu nie są częścią standardowego modelu DFD.
 
Środowisko do projektowania diagramów pozwala na użycie w ramach jednego modelowanego systemu wielu diagramów. Możliwość ta jest szczególnie istotna przy modelowaniu zagrożeń dotyczących złożonych systemów, pozwalając na zachowanie odpowiedniej przejrzystości. Kolejne diagramy dodajemy, używając opcji Add New Diagram z menu Diagram. 
 
[...]
 
Autor jest audytorem wiodącym normy ISO/IEC 27001, specjalizuje się w audycie bezpieczeństwa informacji, danych osobowych oraz bezpieczeństwa systemów informatycznych. Ekspert w zakresie zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego.  

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"