Aanbevelingen voor bedreigingsanalyse
Van toepassing op deze aanbeveling voor de Well-Architected Security-checklist: Power Platform
| ZOO:02 | Zorg voor een veilig ontwerp door gebruik te maken van threat modeling om uzelf te beschermen tegen implementaties die de beveiliging ondermijnen. |
|---|
Een uitgebreide analyse om bedreigingen, aanvallen, kwetsbaarheden en tegenmaatregelen te identificeren is van cruciaal belang tijdens de ontwerpfase van een workload. Bedreigingsmodellering is een technische oefening die onder meer het definiëren van beveiligingsvereisten omvat, het identificeren en beperken van bedreigingen, en het valideren van deze oplossingen. U kunt deze techniek in elk stadium van de ontwikkeling of productie van toepassingen gebruiken, maar is het meest effectief tijdens de ontwerpfasen van nieuwe functionaliteit.
In deze handleiding worden de aanbevelingen beschreven voor het modelleren van bedreigingen, zodat u snel beveiligingslacunes kunt identificeren en uw beveiligingsverdediging kunt ontwerpen.
Definities
| Term | Definitie |
|---|---|
| Software Development Lifecycle (SDLC) | Een uit meerdere fasen bestaand, systematisch proces voor het ontwikkelen van softwaresystemen. |
| STRIDE | Een Microsoft-gedefinieerde taxonomie voor het categoriseren van soorten bedreigingen. |
| Bedreigingsmodellering | Een proces voor het identificeren van potentiële zwakke plekken in de beveiliging van de toepassing en het systeem, het beperken van risico's en het valideren van beveiligingscontroles. |
Belangrijke ontwerpstrategieën
Bedreigingsmodellering is een cruciaal proces dat een organisatie moet integreren in de SDLC. Bedreigingsmodellering is niet alleen de taak van een ontwikkelaar. Het is een gedeelde verantwoordelijkheid tussen:
- Het workloadteam dat verantwoordelijk is voor de technische aspecten van het systeem.
- Zakelijke belanghebbenden die de bedrijfsresultaten begrijpen en een gevestigd belang hebben bij beveiliging.
Er bestaat vaak een kloof tussen het leiderschap van de organisatie en de technische teams met betrekking tot de zakelijke vereisten voor kritieke workloads. Deze kloof kan tot ongewenste resultaten leiden, vooral bij investeringen in beveiliging.
Houd bij het modelleren van bedreigingen rekening met zowel zakelijke als technische vereisten. Het workloadteam en de zakelijke belanghebbenden moeten het eens worden over de beveiligingsspecifieke behoeften van de workload, zodat ze voldoende kunnen investeren in de tegenmaatregelen.
De beveiligingsvereisten dienen als leidraad voor het gehele proces van bedreigingsmodellering. Om er een effectieve oefening van te maken, moet het workloadteam een mentaliteit hebben die is gericht op beveiliging en getraind zijn in tools voor het modelleren van bedreigingen.
De reikwijdte van de oefening begrijpen
Een duidelijk begrip van de reikwijdte is cruciaal voor effectieve bedreigingsmodellering. Het helpt de inspanningen en middelen te concentreren op de meest kritieke gebieden. Deze strategie omvat het definiëren van de grenzen van het systeem, het inventariseren van de activa die moeten worden beschermd en het begrijpen van het investeringsniveau dat nodig is voor beveiligingscontroles.
Informatie verzamelen over elk onderdeel
Een workloadarchitectuurdiagram is een startpunt voor het verzamelen van informatie, omdat het een visuele weergave van het systeem biedt. Het diagram benadrukt de technische dimensies van het systeem. Het toont bijvoorbeeld gebruikersstromen, hoe gegevens door verschillende delen van de workload bewegen, gegevensgevoeligheidsniveaus en informatietypen, en identiteitstoegangspaden.
Deze gedetailleerde analyse kan vaak inzicht geven in potentiële kwetsbaarheden in het ontwerp. Het is belangrijk om de functionaliteit van elk onderdeel en de afhankelijkheden ervan te begrijpen.
De potentiële bedreigingen evalueren
Analyseer elk onderdeel vanuit een perspectief van buitenaf naar binnen toe. Hoe gemakkelijk kan een aanvaller bijvoorbeeld toegang krijgen tot gevoelige gegevens? Als aanvallers toegang krijgen tot de omgeving, kunnen ze dan zijdelings bewegen en mogelijk andere resources benaderen of zelfs manipuleren? Met deze vragen krijgt u inzicht in de manier waarop een aanvaller workloadassets kan misbruiken.
De bedreigingen classificeren met een industriemethodologie
Een methodologie voor het classificeren van bedreigingen is STRIDE, dat wordt gebruikt door de Microsoft Security Development Lifecycle. Door bedreigingen te classificeren, krijgt u inzicht in de aard van elke bedreiging en kunt u de juiste beveiligingsmaatregelen gebruiken.
De bedreigingen beperken
Documenteer alle geïdentificeerde bedreigingen. Definieer voor elke bedreiging beveiligingscontroles en de reactie op een aanval als deze controles mislukken. Definieer een proces en een tijdlijn die de blootstelling aan geïdentificeerde kwetsbaarheden in de workload minimaliseren, zodat deze kwetsbaarheden niet onopgelost kunnen blijven.
Gebruik de aanpak van een inbreuk veronderstellen. Dit kan helpen bij het identificeren van controles die nodig zijn in het ontwerp om risico's te beperken als een primaire beveiligingscontrole mislukt. Evalueer hoe waarschijnlijk het is dat de primaire controle mislukt. Als het toch mislukt, wat is dan de omvang van het potentiële organisatorische risico? En wat is de effectiviteit van compenserende controles? Pas op basis van de evaluatie diepteverdedigingsmaatregelen toe om mogelijke tekortkomingen van de beveiligingscontroles aan te pakken.
Hier volgt een voorbeeld:
| Deze vraag stellen | Om controles te bepalen die... |
|---|---|
| Worden verbindingen geverifieerd via Microsoft Entra ID en worden er moderne beveiligingsprotocollen gebruikt die door het beveiligingsteam zijn goedgekeurd: - Tussen gebruikers en de toepassing? - Tussen toepassingsonderdelen en -services? - Tussen gebruikers en de copiloot? |
Ongeautoriseerde toegang tot de toepassingsonderdelen en -gegevens voorkomen. |
| Beperkt u de toegang tot alleen accounts die gegevens in de toepassing moeten schrijven of wijzigen? | Ongeoorloofde manipulatie of wijziging van gegevens voorkomen. |
| Wordt de toepassingsactiviteit geregistreerd en ingevoerd in een beveiligingsinformatie- en gebeurtenisbeheersysteem (SIEM) via Azure Monitor of een vergelijkbare oplossing? | Aanvallen snel detecteren en onderzoeken. |
| Worden kritieke gegevens beschermd met versleuteling die door het beveiligingsteam is goedgekeurd? | Ongeautoriseerd kopiëren van gegevens in rust voorkomen. |
| Wordt inkomend en uitgaand netwerkverkeer geïsoleerd voor domeinen die zijn goedgekeurd door de beveiligingsteams? | Ongeautoriseerd kopiëren van gegevens voorkomen. |
| Is de toepassing beveiligd tegen toegang vanaf externe/openbare locaties zoals koffiezaken door gebruik te maken van IP-firewalls in de omgeving? | Toegang vanaf ongeautoriseerde openbare locaties voorkomen. |
| Worden de aanmeldingsreferenties of -sleutels voor toegang tot andere toepassingen, databases of services met de toepassing opgeslagen? | Identificeren of een aanval uw toepassing kan gebruiken om andere systemen aan te vallen. |
| Kunt u met de toepassingscontroles aan wettelijke vereisten voldoen? | Privégegevens van gebruikers beschermen en boetes voor naleving voorkomen. |
Resultaten van bedreigingsmodellering bijhouden
We raden u ten zeerste aan een tool voor het modelleren van bedreigingen te gebruiken. Met tools kan het proces van het identificeren van bedreigingen worden geautomatiseerd en kan een uitgebreid rapport van alle geïdentificeerde bedreigingen worden geproduceerd. Zorg ervoor dat u de resultaten aan alle geïnteresseerde teams meedeelt.
Houd de resultaten bij als onderdeel van de backlog van het workloadteam, zodat er tijdig verantwoording kan worden afgelegd. Wijs taken toe aan personen die verantwoordelijk zijn voor het beperken van een bepaald risico dat door bedreigingsmodellering is geïdentificeerd.
Wanneer u nieuwe functies aan de oplossing toevoegt, werkt u het bedreigingsmodel bij en integreert u dit in het codebeheerproces. Als u een beveiligingsprobleem ontdekt, zorg er dan voor dat er een proces is om het probleem te beoordelen op basis van de ernst. Het proces moet u helpen bepalen wanneer en hoe u het probleem kunt verhelpen (bijvoorbeeld in de volgende releasecyclus of in een snellere release).
Regelmatig de bedrijfskritieke workloadvereisten controleren
Houd regelmatig bijeenkomsten met leidinggevende sponsors om de vereisten te definiëren. Deze beoordelingen bieden de mogelijkheid om de verwachtingen op één lijn te brengen en de toewijzing van operationele middelen aan het initiatief te garanderen.
Power Platform faciliteren
Power Platform is gebouwd op een cultuur en methodologie van veilig ontwerp. Zowel de cultuur als de methodologie worden voortdurend versterkt door toonaangevende Security Development Lifecycle- (SDL) en Threat Modeling-praktijken van Microsoft.
Het robuuste beoordelingsproces van Threat Modeling zorgt ervoor dat bedreigingen tijdens de ontwerpfase worden vastgesteld, de gevolgen worden beperkt en er validatie plaatsvindt om er zeker van te zijn dat de bedreigingen onschadelijk zijn gemaakt.
Threat Modeling houdt ook rekening met alle wijzigingen aan services die al live zijn door middel van continue regelmatige beoordelingen. Gebruik van het STRIDE-model helpt om de meest voorkomende problemen met onveilig ontwerp aan te pakken.
MicrosoftDe SDL van is gelijkwaardig aan het OWASP Software Assurance Maturity Model (SAMM). ... Beide zijn gebaseerd op het uitgangspunt dat een veilig ontwerp een integraal onderdeel is van de beveiliging van webtoepassingen.
Zie OWASP top 10-risico's: mitigaties in Power Platform voor meer informatie.
Voorbeeld
Dit voorbeeld bouwt voort op de IT-omgeving (informatietechnologie) die is vastgesteld in Aanbevelingen voor het vaststellen van een beveiligingsbasislijn. Deze aanpak biedt een breed inzicht in het bedreigingslandschap in verschillende IT-scenario's.
Ontwikkelingslevenscycluspersona's. Er zijn veel persona’s betrokken in een ontwikkelingslevenscyclus, waaronder ontwikkelaars, testers, eindgebruikers en beheerders. Ze kunnen allemaal gecompromitteerd raken en uw omgeving in gevaar brengen door kwetsbaarheden of bedreigingen die opzettelijk zijn gecreëerd.
Mogelijke aanvallers. Aanvallers hebben een breed scala aan beschikbare tools die op elk moment gemakkelijk kunnen worden gebruikt om uw kwetsbaarheden te onderzoeken en een aanval te starten.
Veiligheidscontroles. Identificeer als onderdeel van de bedreigingsanalyse Microsoft, Azure en Power Platform beveiligingsservices die voor uw oplossing moeten worden gebruikt en hoe effectief die oplossingen zijn.
Logboekverzameling. Logboeken van Power Platform resources en andere componenten die zijn opgenomen in uw workload, zoals Azure-resources en on-premises-componenten, kunnen worden verzonden naar Application Insights of Microsoft Purview, zodat u inzicht krijgt in het gedrag van uw ontwikkelde oplossing en kunt proberen initiële kwetsbaarheden vast te leggen.
Beveiligingsinformatie gebeurtenisbeheer (SIEM)-oplossing. Microsoft Sentinel kan al in een vroeg stadium van de oplossing worden toegevoegd, zodat u analysequery's kunt bouwen om bedreigingen en kwetsbaarheden te beperken. Zo kunt u anticiperen op uw beveiligings- beveiligen wanneer u in productie bent.
Gerelateerde informatie
- STRIDE-model
- Bedreigingsmodellering
- Power Platform Veelgestelde vragen over beveiliging
- Microsoft Identiteitsplatform
- Levenscyclus van beveiligingsontwikkeling
- Azure AD Continue toegangsevaluatie
- omgeving
- Azure DDoS-beveiliging
- Microsoft instellingen voor nalevingsbeleid van Intune
Controlelijst voor beveiliging
Raadpleeg de volledige reeks aanbevelingen.