Anbefalinger til trusselsanalyse
Dette gælder for denne anbefaling af Power Platform-kontrolliste til velstruktureret sikkerhed:
| SE:02 | Indarbejd et sikkert design ved hjælp af trusselsmodeller for at beskytte mod implementeringer, der ødelægger sikkerheden. |
|---|
En omfattende analyse til identifikation af trusler, angreb, sårbarheder og modforanstaltninger er vigtig i designfasen for en arbejdsbelastning. Trusselsmodeller er en teknisk opgave, der omfatter definition af sikkerhedskrav, identifikation og afhjælpning af trusler samt validering af disse afhjælpninger. Du kan bruge denne teknik i alle faser af programudvikling eller -produktion, men den er mest effektiv i designfaserne for nye funktioner.
I denne vejledning beskrives anbefalingerne til, hvordan du opretter trusselsmodeller, så du hurtigt kan identificere sikkerhedshuller og designe dit sikkerhedsforsvar.
Definitioner
| Begreb | Definition |
|---|---|
| Livscyklus for sikkerhedsudvikling (SDLC) | En systematisk proces i flere trin til udvikling af softwaresystemer. |
| STRIDE | En Microsoft-defineret taksonomi til kategorisering af typer af trusler. |
| Trusselsmodeller | En proces til identifikation af potentielle sikkerhedsrisici i programmet og systemet, afhjælpning af risici og validering af sikkerhedskontroller. |
Vigtigste designstrategier
Trusselsmodeller er en vigtig proces, som en organisation skal integrere i sin SDLC. Trusselsmodeller er ikke kun en opgave for udviklere. Det er et delt ansvar mellem:
- Den arbejdsteam, som er ansvarlig for de tekniske aspekter i systemet.
- Forretningsinteressenter, der forstår forretningsresultatet og har en egeninteresse i sikkerhed.
Der er ofte et misforhold mellem organisationsledelse og tekniske teams med hensyn til forretningskrav til kritiske arbejdsbelastninger. Dette misforhold kan medføre uønskede resultater, især med hensyn til sikkerhedsinvesteringer.
Overvej både forretningsmæssige og tekniske krav, når du udfører en trusselsmodellering. Arbejdsteamet og forretningsinteressenterne skal være enige om de sikkerhedsspecifikke krav til arbejdsbelastningen, så de kan foretage de nødvendige investeringer i modforanstaltningerne.
Sikkerhedskravene fungerer som vejledning i hele trusselsmodelleringsprocessen. For at gøre det til en effektiv opgave skal arbejdsteamet have et sikkerhedsmæssig tilgang og oplæres i værktøjer til trusselsmodeller.
Om omfanget af denne opgave
En klar forståelse af omfanget er vigtig for at udvikle effektive trusselsmodeller. Det er med til at fokusere indsatsen og ressourcerne på de kritiske områder. Denne strategi indebærer, at du skal definere systemets grænser, foretage lageroptælling af de aktiver, der skal beskyttes, og forstå det investeringsniveau, der kræves i forbindelse med sikkerhedskontroller.
Indsamle oplysninger om hver enkelt komponent
Et diagram over arbejdsbelastningsarkitekturen er udgangspunktet for indsamling af oplysninger, da det giver en visuel repræsentation af systemet. I diagrammet fremhæves systemets tekniske dimensioner. Den viser f.eks. brugerflow, hvordan data bevæger sig gennem forskellige dele af arbejdsbelastningen, datafølsomhedsniveauer og oplysningstyper samt adgangsstier for identiteter.
Denne detaljerede analyse kan ofte give indsigt i potentielle sårbarheder i designet. Det er vigtigt at forstå funktionaliteten af hver enkelt komponent og dens afhængigheder.
Evaluere de potentielle trusler
Analysér hver enkelt komponent fra et outside-in-perspektiv. Hvor let kan en person med ondsindede hensigter f.eks. få adgang til følsomme data? Hvis personer med ondsindede hensigter får adgang til miljøet, kan de bevæge sig gennem systemet og muligvis få adgang og endda manipulere andre ressourcer? Disse spørgsmål hjælper dig med at forstå, hvordan en person med ondsindede hensigter kan udnytte arbejdsbelastningsaktiver.
Klassificere truslerne ved hjælp af en branchemetode
En metode til klassificering af trusler er STRIDE, som anvendes i Microsoft Security Development Lifecycle. Klassificering af trusler hjælper dig med at forstå arten af de enkelte trusler og bruge de relevante sikkerhedskontroller.
Afhjælpe truslerne
Dokumentér alle de identificerede trusler. For hver enkelt trussel skal du definere sikkerhedskontroller og reaktionen på et angreb, hvis disse kontroller ikke lykkes. Definer en proces og en tidslinje, der minimerer eksponering til identificerede sårbarheder i arbejdsbelastningen, så disse sårbarheder ikke forbliver uløst.
Brug fremgangsmåden antag brud. Den kan hjælpe dig med at identificere de kontroller, der er nødvendige i designet for at afhjælpe risikoen, hvis en primær sikkerhedskontrol ikke lykkes. Vurder, hvor sandsynligt det er, at den primære kontrol mislykkes. Hvis den ikke lykkes, hvad er så omfanget af den potentielle organisationsrisiko? Og hvad er effektiviteten af kompenserende kontroller? På baggrund af evalueringen skal du anvende foranstaltninger med dybdegående forsvar til at løse eventuelle fejl i sikkerhedskontrollerne.
Her er et eksempel:
| Stil dette spørgsmål | Sådan bestemmes kontroller, der... |
|---|---|
| Er forbindelser, som er godkendt via Microsoft Entra ID og bruger moderne sikkerhedsprotokoller, som sikkerhedsteamet har godkendt: - Mellem brugere og programmet? - Mellem programkomponenter og tjenester? - Mellem brugere og en AI-assistent (agent)? |
Forhindr uautoriseret adgang til programkomponenterne og dataene. |
| Begrænser du adgangen til kun konti, der skal skrive eller redigere data i programmet? | Undgå, uautoriserede data, der manipulerer eller ændrer. |
| Logføres og føres programaktiviteter ind i et system til sikkerhedsoplysninger og arrangementsstyring (SIEM) via Azure Monitor eller en lignende løsning? | Registrer og undersøg hurtigt angreb. |
| Er kritiske data beskyttet med kryptering, som sikkerhedsteamet har godkendt? | Forhindr uautoriseret kopiering af inaktive data. |
| Er indgående og udgående netværkstrafik isoleret til domæner, der er godkendt af sikkerhedsteamene? | Forhindr uautoriseret kopiering af data. |
| Er programmet beskyttet mod adgang fra eksterne/offentlige placeringer, f.eks. kaffebarer, ved hjælp af IP-firewalls i miljøet? | Forhindr adgang fra uautoriserede offentlige placeringer. |
| Gemmer programmet legitimationsoplysninger eller nøgler til logon for at få adgang til andre programmer, databaser eller tjenester? | Identificer, om et angreb kan bruge dit program til at angribe andre systemer. |
| Giver programkontroller dig mulighed for at opfylde lovgivningskrav? | Beskyt brugernes private data, og undgå bøder for manglende overholdelse af regler og standarder. |
Spore resultater af trusselsmodeller
Det anbefales på det kraftigste, at du bruger et værktøj til trusselsmodeller. Værktøjer kan automatisere processen til identifikation af trusler og udarbejde en omfattende rapport over alle identificerede trusler. Sørg for at kommunikere resultaterne til alle interesserede teams.
Spor resultaterne som en del af arbejdsteamets backlog, så der er mulighed for at håndtere dem i rette tid. Tildel opgaver til personer, der er ansvarlige for at afhjælpe en bestemt risiko, som trusselsmodeller identificerede.
Efterhånden som du føjer nye funktioner til løsningen, skal du opdatere trusselsmodellen og integrere den i kodestyringsprocessen. Hvis du finder et sikkerhedsproblem, skal du sørge for, at der er en proces, der kan løse problemet på baggrund af alvorsgraden. Processen skal hjælpe dig med at finde ud af, hvornår og hvordan du skal løse problemet (f.eks. i den næste udgivelsescyklus eller i en hurtigere version).
Gennemse jævnligt krav til forretningskritiske arbejdsbelastninger
Mød jævnligt med ledende sponsorer for at definere krav. Disse gennemgange giver mulighed for at afstemme forventningerne og sikre, at driftsmæssig ressourceallokering til initiativet.
Power Platform-processtyring
Power Platform er baseret på en kultur og metode til sikkert design. Både kultur og metode bliver konstant forstærket via Microsofts førende SDL-praksis Security Development Lifecycle og trusselsmodeller.
Den robuste proces til gennemgang af trusselsmodeller sikrer, at trusler identificeres i designfasen, afhjælpes og valideres for at sikre, at de er blevet afhjulpet.
Trusselsmodellering står også for alle ændringer af tjenester, der allerede er aktive gennem løbende jævnlige gennemgange. Hvis du bruger STRIDE-modellen, kan du løse de mest almindelige problemer med usikkert design.
Microsofts SDL svarer til OWASP Software Assurance Maturity Model (SAMM). Begge er baseret på den forudsætning, at et sikkert design er en integreret del af sikkerheden i webprogrammet.
Du kan finde flere oplysninger i 10 største OWASP-risici: Afhjælpninger i Power Platform.
Eksempel
Dette eksempel bygger på it-miljøet (Information Technology), der er etableret i Anbefalinger til etablering af grundlæggende sikkerhed. Denne fremgangsmåde giver en bred forståelse af trusselsbilledet på tværs af forskellige it-scenarier.
Livscyklus for sikkerhedsudvikling. Der er mange personer involveret i en livscyklus for udvikling, herunder udviklere, testere, slutbrugere og administratorer. De kan alle blive kompromitteret og udgøre en risiko for dit miljø via sårbarheder eller trusler, der er oprettet med overlæg.
Potentielle personer med ondsindede hensigter. Personer med ondsindede hensigter har en lang række værktøjer, der når som helst kan bruges til at undersøge dine sårbarheder og starte et angreb.
Sikkerhedskontroller. Som en del af en trusselsanalyse skal du identificere Microsoft-, Azure- og Power Platform-sikkerhedstjenester, der skal bruges til at beskytte din løsning, og hvor effektive disse løsninger er.
Logsamling. Der kan sendes logge fra Power Platform-ressourcer og andre komponenter, der er inkluderet i din arbejdsbelastning, f.eks. Azure-ressourcer og komponenter i det lokale miljø, til Application Insights eller Microsoft Purview, så du kan forstå den funktionsmåde, der er udviklet for din løsning, og prøve at registrere indledende sårbarheder.
SIEM-løsning (Security Information Event Management). Microsoft Sentinel kan tilføjes selv i en tidligt fase af løsningen, så du kan oprette analyseforespørgsler for at afhjælpe trusler og sårbarheder og gøre dit sikkerhedsmiljø klar til produktion.
Relaterede oplysninger
- STRIDE-model
- Trusselsmodeller
- Ofte stillede spørgsmål om Power Platform-sikkerhed
- Microsoft-identitetsplatform
- Livscyklus for sikkerhedsudvikling
- Azure AD Kontinuerlig adgangsevaluering
- Sikkerhedspolitik for indhold
- Azure DDoS Protection
- Microsoft Intunes indstillinger for overholdelsespolitik
Kontrolliste til sikkerhed
Se det fuldstændige sæt anbefalinger.