Anbefalinger for trusselanalyse
Gjelder til denne Power Platform Well-Architected Security-sjekklisteanbefalingen:
| SE:02 | Bruk en sikker utforming ved hjelp av trusselmodellering for å beskytte mot implementeringer som omgår sikkerheten. |
|---|
En omfattende analyse for å identifisere trusler, angrep, sårbarheter og mottiltak er avgjørende i utformingsfasen av en arbeidsbelastning. Trusselmodellering er en teknisk oppgave som omfatter å definere sikkerhetskrav, identifisere og redusere trusler og validere disse løsningene. Du kan bruke denne teknikken når som helst i programutvikling eller -produksjon, men den er mest effektiv under utformingsfasene av ny funksjonalitet.
Denne veiledningen beskriver anbefalingene for trusselmodellering, slik at du raskt kan identifisere sikkerhetsbrudd og utforme sikkerhetsstyrkene.
Definisjoner
| Term | Definisjon |
|---|---|
| Livssyklus for programvareutvikling (SDLC) | En systematisk prosess med flere faser for utvikling av programvaresystemer. |
| STRIDE | En Microsoft-definert taksonomi for kategorisering av trusler. |
| Trusselmodellering | En prosess for identifisering av potensielle sikkerhetsproblemer i programmet og systemet, redusere risikoene og validere sikkerhetskontroller. |
Viktige utformingsstrategier
Trusselmodellering er en viktig prosess som en organisasjon bør integrere i sin SDLC. Trusselmodellering er ikke bare en utviklers oppgave. Det er et delt ansvar mellom følgende:
- Arbeidsbelastningsteamet, som er ansvarlig for de tekniske sidene av systemet.
- Forretningsinteresserte, som forstår forretningsresultatene og har en egeninteresse i sikkerhet.
Det er ofte en motsetning mellom organisasjonsledelsen og tekniske team når det gjelder forretningskrav for kritiske arbeidsbelastninger. Denne motsetningen kan føre til uønskede resultater, spesielt for sikkerhetsinvesteringer.
Vurder både forretningskrav og tekniske krav når du gjør trusselmodelleringsøvelsen. Arbeidsbelastningsteamet og forretningsinteressenter må bli enige om sikkerhetsspesifikke behov for arbeidsbelastningen, slik at de kan foreta nødvendige investeringer i mottiltakene.
Sikkerhetskravene fungerer som veiledning for hele prosessen med trusselmodellering. For å gjøre arbeidet effektivt bør arbeidsbelastningsteamet ha et sikkerhetssett og få opplæring i verktøy for trusselmodellering.
Forstå omfanget av øvelsen
En klar forståelse av omfanget er avgjørende for effektiv trusselmodellering. Det bidrar til å fokusere innsats og ressurser på de mest kritiske områdene. Denne strategien innebærer å definere systemgrensene, registrere aktiva som må beskyttes, og forstå investeringsnivået som kreves i sikkerhetskontrollene.
Samle inn informasjon om hver komponent
Et diagram for arbeidsbelastningsarkitektur er et utgangspunkt for å samle inn informasjon, fordi det gir en visuell representasjon av systemet. Diagrammet fremhever tekniske dimensjoner i systemet. Den viser for eksempel brukerflyter, hvordan data beveger seg gjennom ulike deler av arbeidsbelastningen, datasensitivitetsnivåer og informasjonstyper, og identitetstilgangsbaner.
Denne detaljerte analysen kan ofte gi innsikt i mulige sårbarheter i utformingen. Det er viktig å forstå funksjonaliteten til hver komponent og avhengighetene.
Evaluere potensielle trusler
Analyser hver komponent fra et utenforstående perspektiv. Hvor enkelt kan for eksempel en angriper få tilgang til sensitive data? Hvis anpripere får tilgang til miljøet, kan de flytte sidevis og potensielt få tilgang til eller til og med manipulere andre ressurser? Disse spørsmålene hjelper deg med å forstå hvordan en angriper kan utnytte aktiva i arbeidsbelastningen.
Klassifisere truslene ved hjelp av en bransjemetodikk
Én metodikk for å klassifisere trusler er STRIDE, som Microsoft Security Development Lifecycle bruker. Ved å klassifisere trusler kan du forstå hver enkelt trussel og bruke nødvendige sikkerhetskontroller.
Redusere truslene
Dokumenter alle identifiserte trusler. For hver trussel definerer du sikkerhetskontroller og svaret på et angrep hvis disse kontrollene mislykkes. Definer en prosess og tidslinje som reduserer tilgangen til eventuelle identifiserte sårbarheter i arbeidsbelastningen, slik at disse sårbarhetene ikke kan forbli uløste.
Bruk anta bruddå-tilnærmingen. Den kan hjelpe deg med å identifisere kontroller som er nødvendige i utformingen, for å redusere risikoen hvis en hovedsikkerhetskontroll mislykkes. Vurder hvor sannsynlig det er at den primære kontrollen mislykkes. Hvis den mislykkes, hva er omfanget av den potensielle organisasjonsrisikoen? Hva er virkningan av kompenserende kontroller? Basert på evalueringen bør du iverksette tiltak i dybden løse potensielle feil i sikkerhetskontroller.
Her er et eksempel:
| Stille dette spørsmålet | For å fastsette kontroller som ... |
|---|---|
| Er tilkoblinger godkjent via Microsoft Entra ID, og bruker moderne sikkerhetsprotokoller som sikkerhetsteamet godkjente: - Mellom brukere og programmet? – Mellom programkomponenter og tjenester? - Mellom brukere og en KI-assistent (agent)? |
Forhindre uautorisert tilgang til programkomponentene og dataene. |
| Begrenser du tilgang til bare forretningsforbindelser som trenger å skrive eller endre data i programmet? | Forhindre uautoriserte datatukling eller -endring. |
| Er programaktiviteten logget og matet inn i et sikkerhetsinformasjons- og et hendelsesbehandlingssystem (SIEM-system) via Azure Monitor eller en lignende løsning? | Registrer og undersøk angrep raskt. |
| Er viktige data beskyttet med kryptering som sikkerhetsteamet godkjente? | Forhindre uautorisert kopiering av inaktive data. |
| Er inngående og utgående nettverkstrafikk isolert til domener godkjent av sikkerhetsteamene? | Forhindre uautorisert kopiering av data. |
| Er programmet beskyttet mot tilgang fra eksterne/offentlige steder, for eksempel kaffebarer, ved hjelp av IP-brannmurer i miljøet? | Hindre tilgang fra uautoriserte offentlige plasseringer. |
| Lagrer programmet påloggingslegitimasjon eller -nøkler for å få tilgang til andre programmer, databaser eller tjenester? | Finn ut om et angrep kan bruke programmet til å angripe andre systemer. |
| Gjør programkontrollene det mulig å oppfylle forskriftskrav? | Beskytt brukernes private data, og unngå bøter for overholdelse. |
Spore resultater for trusselmodellering
Vi anbefaler på det sterkeste at du bruker et verktøy for trusselmodellering. Verktøy kan automatisere identifisering av trusler og lage en omfattende rapport over alle identifiserte trusler. Sørg for at du kommuniserer resultatene til alle interesserte team.
Spor resultatene som en del av arbeidsbelastningsteamets etterslep for å gjøre det mulig å ta ansvar i rett tid. Tilordne oppgaver til enkeltpersoner som er ansvarlige for å redusere en bestemt risiko som trusselmodellering identifiserte.
Når du legger til nye funksjoner i løsningen, oppdaterer du trusselmodellen og integrerer den i kodebehandlingsprosessen. Hvis du finner et sikkerhetsproblem, må du sørge for at det finnes en prosess for å løse problemet basert på hvor stort problemet er. Prosessen skal hjelpe deg med å bestemme når og hvordan problemet skal løses på nytt (for eksempel i den neste utgivelsessyklusen eller i en raskere utgave).
Gå regelmessig gjennom forretningskritiske krav til arbeidsbelastning
Møt overordnede sponsorer regelmessig for å definere krav. Disse gjennomgangene gir en mulighet til å innrette forventningene og sikre ressurstildeling til initiativet.
Tilrettelegging for Power Platform
Power Platform er bygd på en kultur og metodikk for sikker design. Både kultur og metode forsterkes hele tiden gjennom Microsofts bransjeledende praksiser med livssyklus for sikkerhetsutvikling (SDL) for trusselmodellering.
Gjennomgangsprosessen for trusselmodellering sikrer identifiseres i utviklingsfasen, overføres og valideres for å sikre at de er redusert.
Trusselmodellering står også for alle endringer i tjenester som allerede vises, gjennom kontinuerlige regelmessige gjennomganger. Å være avhengig av STRIDE-modellen bidrar til å løse de vanligste problemene med usikker design.
Microsofts SDL tilsvarer OWASP Software Assurance Maturity Model (SAMM). Begge er bygd på premisset om at sikker design er integrert i nettprogramsikkerhet.
Hvis du vil ha mer informasjon, kan du se OWASPs ti største risikoer: reduksjoner i Power Platform.
Eksempel
Dette eksemplet bygger på IT-miljøet (Information Technology) som er opprettet i Anbefalinger for å etablere en sikkerhetsgrunnlinje. Denne tilnærmingen gir en bred forståelse av trusselbildet på tvers av forskjellige IT-scenarier.
Identiteter i livssyklusen for utvikling. Det er mange identiteter involvert i en livssyklus for utvikling, inkludert utviklere, testere, sluttbrukere og administratorer. Alle kan være kompromittert og sette miljøet i fare gjennom sårbarheter eller trusler opprettet med hensikt.
Potensielle angripere. Angripere har en rekke ulike verktøy tilgjengelige som enkelt kan brukes når som helst for å utforske sårbarhetene dine og starte et angrep.
Sikkerhetskontroller. Som en del av trusselanalysen identifiserer du Microsoft-, Azure- og Power Platform-sikkerhetstjenester som kan brukes til å beskytte løsningen din, og hvor effektive disse løsningene er.
Loggsamling. Logger fra Power Platform-ressurser og andre komponenter som er inkludert i arbeidsbelastningen, for eksempel Azure-ressurser og lokale komponenter, kan sendes til Application Insights eller Microsoft Purview, slik at du kan forstå funksjonaliteten til løsningen som er utviklet, og prøve å fange opp innledende sårbarheter.
SIEM-løsning (sikkerhetsinformasjon og hendelsesbehandling). Microsoft Sentinel kan legges til allerede i et tidlig trinn i løsningen, slik at du kan bygge analysespørringer for å redusere trusler og sårbarheter og dermed være forkant med hensyn til sikkerhetsmiljøet når du er i produksjon.
Relatert informasjon
- STRIDE-modell
- Trusselmodellering
- Vanlige spørsmål om Power Platform-sikkerhet
- Microsofts identitetsplattform
- Livssyklus for sikkerhetsutvikling
- Azure AD kontinuerlig tilgangsevaluering
- Sikkerhetspolicy for innhold
- Azure DDoS Protection
- Microsoft Intune-innstillinger for samsvarspolicy
Sikkerhetssjekkliste
Se hele settet med anbefalinger.