Condividi tramite


Il presente articolo è stato tradotto automaticamente.

Informazioni di protezione

Guida introduttiva con il rischio di processo dello strumento di modellazione

Adam Shostack

Contenuto

Avviare il rischio di modelli di processo
L'analisi dei rischi
Ambiente schermo
Tenere traccia con report
Menu Azioni
Le riunioni di modellazione dei rischi
Pensando di attività

fig01.gif

Figura 1 il processo di modellazione di rischio

In novembre 2008, Microsoft annunciato la disponibilità generale delProtezione Development Lifecycle (SDL), strumento di modellazionecome download gratuito da MSDN. In questa colonna segue un team attraverso il processo di Introduzione al processo SDL modellazione approccio e viene illustrato come utilizzare il nuovo strumento per sviluppare i modelli di rischio grande come backbone del processo di protezione.

In questa colonna non è una panoramica sul processo il modello di rischio. Per, vedere l'articolo che co-authored nel numero di novembre 2006 di MSDN Magazine in utilizzando l'approccio stride"Modellazione dei rischi: Scopri Utilizzo dell'approccio STRIDE difetti di protezione struttura." Nella figura 1 viene fornita una rapida panoramica del processo.

Avviare il rischio di modelli di processo

Quando si avvia il processo SDL modellazione strumento, si noterà che verso l'alto nell'angolo inferiore sinistro aspetto abbastanza qualche Microsoft Office Outlook con quattro schermate: creare un diagramma, analizzare, ambiente e i report (vedere la Figura 2 per informazioni dettagliate). Si noti che queste schermate sono leggermente diversa da struttura illustrata nella Figura 1 perché è opportuno prendere in considerazione le minacce e rimedi insieme perché sono strettamente correlati.

In questa sezione, verrà seguire Elisabetta uno sviluppatore, Paul (program manager) e un tester di Tim attraverso il processo di sviluppo i modello rischio prima e tratterò anche ogni schermata dello strumento.

fig02.gif

" Hi Elisabetta, è stati lavorando in tale diagramma modello di rischio e per scorrere con te per assicurarsi che è stato utilizzato i dettagli a destra. "

"Cosa sure, Paul. Entrare in."

Paul, verrà visualizzata all'esterno di una stampa fuori di un diagramma ha è già eseguito da "diagrammi solo di" report lo strumento di modello di rischio, visualizzato in Nella figura 3 .

"Paul, che non sono state visto questi diagrammi prima. Sembra molto semplice, ma possibile è scorrere mi significato forme diverse?"

" La modalità di questo funziona è Carl, l'utente tipo cliente normale, viene disegnata come entità esterna, ovvero un rettangolo. Ha di inviare comandi nostri server Web, il cerchio è qualsiasi codice in esecuzione e la freccia ci la direzione di comunicazione. Il server Web è consulenza un database, che, come con qualsiasi punto è possibile memorizzare dati è due linee parallele. Il sistema viene chiamato un diagramma di flusso dei dati (DFD È). C'è unbuon articolo Wikipedia su DFDs. Il bit solo non trattato vi sono queste linee punteggiate di attendibilità limite dai dove persone diverse sono nel controllo. Ad esempio, è noto che dei professionisti IT richiedono che è utilizzare il sistema Active Directory per le informazioni di accesso e pertanto Active Directory viene visualizzata come all'esterno il controllo."

fig03.gif

Nella figura 3 DFD È diagramma ’s Paul

Quando viene avviato lo strumento, viene visualizzata la schermata diagramma. Questo è dove Paul utilizzato gli strumenti di Visio e lo stencil fornito per disegnare il DFD È (vedere la Figura 4 ). Anche se questa è la prima volta, egli è in quest'area perché la convalida sul lato sinistro assegnato lui commenti e suggerimenti, in base a sua esperienza nell'utilizzo di modellazione come parte del processo SDL. Come ha trovato viene disegno ulteriori complessità, ha aggiunto i dettagli aggiuntivi facendo clic sulla cartella contesto nella parte superiore destra e riuscito a creare un diagramma complesso e a più livelli.

fig04.gif

Nella figura 4 la schermata di diagrammi

L'analisi dei rischi

Paul momento un po'hesitant ha aperto la schermata di analisi (vedere la Figura 5 ). Si è verificato un lungo elenco di rischi presenti, essi provenienza? Lo strumento di stato costruito, utilizzando l'approccio processo denominato "automatico per l'elemento". Il concetto è che il software proviene in genere in un insieme prevedibile di minacce (quelli illustrato nella Figura 5 ). Alcuni esperti di protezione da vengono cercati dopo il pirata informatico prima poiché chase stesso può essere divertente. RITENGO che è opportuno per avviare la protezione la casa apportando che ogni porta e finestra abbia qualche tipo di blocco su di esso e quindi solo sapere su un sistema di avviso. Pertanto Iniziamo con STRIDE per elemento facendo clic su uno delle righe della finestra Analisi.

fig05.gif

Nella figura 5 schermo l'analisi

Paul avviato fuori da selezionare il data­base nell'elenco di elementi. Ha lettura nella parte superiore della finestra che "database" un archivio dati, pertanto soggetto a manomissioni, information disclosure e negazione del servizio minacce. Come ha letto verso il basso, le domande contribuito a lui pensare di come gli utenti potrebbero alterare con i dati e ha realizzato che non era specificato che è connesso al database. Un diagramma della lavagna e alcune semplici regole mostrata il rischio di primo. Punteggio uno per la creazione di un modello di rischio.

Pochi minuti di discussione prodotto un realizzazione sono necessarie per considerare controllo di accesso e dei ruoli. Paul immesse alcune note rapidamente in due minacce. La prima nota detto "Nessun accesso controllo piano." Ha inoltre archiviato un elemento di lavoro i database di Team Foundation Server (TFS). La seconda nota detto "piano di controllo di accesso richiede un elenco di ruoli." Paul è passato in TFS ed è quindi creato un secondo bug che dipende la prima.

Come Paul causa in divulgazione di informazioni, ha realizzato che il piano di controllo di accesso necessarie alcuni account di sola lettura per la generazione controllo e dei report. È utile se questo è un rischio di nuovo, quindi deciso di che non perché l'attenuazione è lo stesso, ma ha modificato il bug in TFS. Ha deciso di certificare il rischio come attenuato in un'posizione, quindi scritto "descritti in bug TFS #235". Non ha piuttosto che di fatto era OK, ma la funzionalità di certificazione è la funzione (vedere la Figura 6 ).

fig06.gif

Nella figura 6 certificazione di rischi Don’t applicazione

Ha anche pensato divulgazione di informazioni un po'più e realizzati i nastri di backup sono stati intende necessario crittografia, ma questo è un processo di operazioni. (Verranno descritte come ha registrato che in un solo minuto, dopo l'accompagnamento una correlate funzionalità: la casella di controllo "Auto­-generare rischi per l'elemento" nella parte superiore.)

La funzionalità di generazione automatica è progettata per i team di grandi dimensioni che dispongono di numerose i modelli di rischio e che inoltre hanno un modo per garantire che il tester e responsabili di programma tutti parla dei modelli di rischio. Pertanto, per questa situazione, Paul potrebbe pronunciare che Elisabetta è responsabile di diversi elementi desidera visualizzare per contesto e la modalità di interazione con la funzionalità. La casella auto­-generate è selezionata per impostazione predefinita, ma Paul possibile deselezionare e dello stato che ha rilevi che si tratta funzionalità di Elisabetta.

Ambiente schermo

Worried sulle operazioni di crittografia i nastri di backup, Paul aperto sullo schermo di ambiente e visto una sezione di note sulla protezione esterna (vedere la Figura 7 ). Ha effettuato una nota che doveva operazioni per gestire il backup su nastro. Ha sarebbe assicurarsi operazioni potevano una copia dello strumento.

fig07.gif

Nella figura 7 esterni note sulla protezione

Durante ha esiste, ha chiesto cosa sezione dell'intestazione del documento è ed è relieved verificare che si è verificato più Guida testo alto non esiste, spiegare che questa non è in cui ha identificato che proprietà modello di rischio fosse e così via. Egli compilato e wished che egli può includere il progetto contoso numero di registrazione.

Lo spostamento sistematicamente tra gli elementi della struttura, Paul notato che erano le dipendenze di SQL Server e la libreria di widget Fabrikam Foxy Web penne 2.3. Paul aggiunta una nota che TIM analizzare, assicurarsi che fossero aggiornati e che sono stati recupero le notifiche di protezione da fabrikam.

Tenere traccia con report

Sono disponibili cinque report di modellazione dei rischi:

Report di analisi Questo report è progettato per un consulente di protezione o di un consulente per esaminare un modello di rischio, sebbene tutti gli utenti possibile utilizzare per visualizzare quali problemi di convalida diagramma sono aperte, quali rischi vuoti non stati compilati, quali rischi non sono rimedi cosa minacce sono stato certificato o contrassegnato come non la generazione di minacce.

Report di modello di rischio Questo report contiene le informazioni immesse nel modello di rischio presentato in una visualizzazione singola pagina.

solo i diagrammi In questo report è progettato per consentono di stampare i diagrammi. Alcuni utenti come lavorando carta, ma non necessario stampare report intero quando desiderano è il diagramma.

Report di bug Questo report vengono visualizzati i bug che sono stati archiviati da questo modello di rischio e lo stato

tecniche di fuzzing report Il report di fuzzing utilizza le informazioni dell'architettura fornite nel passaggio per la creazione di diagrammi per offrire un elenco con priorità di fuzzing destinazioni. Tecniche di fuzzing è una tecnica di test che prevede la generazione casuale di input per un programma. È surprising come buona tecniche di fuzzing può essere in effettua l'arresto anomalo di operazioni e numerose tali arresti anomali sono vulnerabile. (VedereCreare un provider di interfaccia personalizzato test per Team SystemoFuzz test a Microsoft e il processo di valutazionedi più su approssimazione testing.)

Menu Azioni

Un paio di funzionalità utili al Stoccaggio del menu Azione: visualizzazione anteprime, le impostazioni di verifica dei bug e modalità di lead del team. Visualizzazione Anteprima consente di accedere facilmente per i diagrammi quando sei in altre schermate. Questo è utile quando si dispone di un diagramma complesso e si desidera risulti sullo schermo durante l'analisi del modello. Ridimensiona automaticamente l'anteprima per occupare la maggior parte delle finestra di mantenere il diagramma intero nella visualizzazione mentre si ridimensiona.

Se si tenta di un bug di file senza immettere le informazioni di bug, finestra di dialogo di gestione dei bug verrà proporre per richiedere, ma è possibile portare fino qualsiasi momento tramite il menu Azioni. C'è un semplice file XML è possibile utilizzare per definire i campi da compilare o modificare solo i campi (presupponendo che la casella "modello di utilizzo" non è selezionata). Bug ottenere automaticamente un titolo di " gestore transazioni: [rischio] influenza [elemento] " e risulta precompilato dalle informazioni del rischio e attenuazione contenuto. È possibile eliminare campi selezionandole e premendo CANC.

Modalità di lead del team visualizza una nuova sezione in describe ambiente finestra denominata delle impostazioni dei modelli. In questo modo un responsabile del team modificare le domande di Guida e impostare un percorso predefinito per salvare i modelli di rischio. Il responsabile del team anche possibile modificare i campi informazioni di intestazione del documento, aggiungere e rimuovere Cose da adattare l'ambiente.

Come ha era desiderava eseguire versioni precedenti, Paul aggiunto al progetto contoso verifica il numero di un nuovo campo. Qualsiasi modello di rischio salvata da una modalità di lead del team può funzionare come un modello. (In realtà, qualsiasi modello di rischio affatto può funzionare come un modello per il lavoro aggiuntivo.)

Modifica le domande Guida implica modificano un file XML che inizia nel processo SDL modellazione cartella \Data dello strumento. Il formato è piuttosto semplice da seguire.

Le riunioni di modellazione dei rischi

Quando Paul inviato il modello di rischio intorno a, Tim, il tester è stata piuttosto underwhelmed. Tutti i tipi di elementi estratti da a lui e ha richiesto Paul: "è automaticamente gestori presuppongono sempre tutto ciò che sta per utilizzare, eh?"

Può sorprendere di sapere che il tester e i relativi scetticismi può funzionare come completa una grande i modelli di rischio. Molti team chiedere di conseguenza, i tester per portare il processo di modellazione. In questo scenario, dopo Tim impiegato rispetto al modello di rischio ha chiamato per due le riunioni di modellazione dei rischi: una riunione per sincronizzare sul processo e scorrere i diagrammi ed una riunione seconda per rischio esaminare e approvazione.

In una riunione prima, Tim trascorso 10 minuti esame tutti gli utenti tramite il processo SDL processo di modellazione. Ha quindi estratte le il diagramma modello di rischio e avviato illustra in dettaglio. Entro cinque minuti, era stato individuato un componente importante manca.

Qualche minuto in versioni successive, Tim e Paul ottenuto in una discussione estesa di come il server Web è stato effettivamente generato. Non è stato il metodo ideale per una riunione continuare, ma tutti accettato infine che Individuazione anticipo la discrepanza doveva salvarli in una grande quantità di tempo in un secondo momento.

Durante la riunione seconda il team esaminato tramite le minacce, illustrati alcuni metodi di risolverli e firmato disattivata sul modello di rischio. Controllato il documento nel controllo del codice sorgente e si continua con lo sviluppo.

Pensando di attività

Alcuni lettori che dispongono di rischio modellata possono notare che è non sono stati sui cespiti affatto. È stato rilevato che molti tecnici software comprendano meglio rispetto a comprendere il concetto di cespiti e quali cespiti chi effettua un attacco potrebbe essere interessato a proprio software.

Se si prevede di modello di rischio di servizi di accesso a terze parti, potrebbe Iniziamo pensando propria famiglia o irreplaceable fotografie o illustrazioni importanti. Forse potrebbe Iniziamo Riflessioni sui che potrebbero interrompere il sistema di protezione corrente. Oppure può avviare considerando le funzionalità fisiche, ad esempio il pool o porch anteriore. Questi sono analoghi a pensando di cespiti, pirati informatici o software di progettazione. Uno dei tre approcci funzionerà.

L'approccio per threat modellazione che è stato presentato qui è notevolmente più Cosa ha fatto Microsoft in passato semplice. Il team Microsoft processo ha rilevato che funziona con l'approccio di progettazione software realmente le numerose team. Ci auguriamo che includerà propria.

Inviare domande e commentibriefs@microsoft.com.

Shostack ADAM è un Program Manager nel team di protezione Development Lifecycle (SDL) in Microsoft. È responsabile di modellazione componente del processo SDL.