Rekommendationer för hotanalys
Gäller för den här checklisterekommendationen för Power Platform Välstrukturerad säkerhet:
| SE:02 | Införliva en säker design genom att använda hotmodeller och skydda mot implementeringar som gäller överlistar säkerheten. |
|---|
En omfattande analys för att identifiera hot, angrepp, säkerhetsproblem och åtgärder för att förhindra säkerhetsproblem är mycket viktig under utformningsfasen av en arbetsbelastning. Hotmodellering är en ingenjörsövning som inkluderar att definiera säkerhetskrav, identifiera och minska hot och validera dessa riskreduceringar. Du kan använda den här tekniken i alla stadier av programutveckling eller produktion, men det är mest effektivt under designfaserna för nya funktioner.
I den här guiden beskrivs rekommendationer om hur du skapar hotmodeller så att du snabbt kan identifiera säkerhetsroller och utforma säkerhetsrollerna.
Definitioner
| Begrepp | Definition |
|---|---|
| Software development lifecycle (SDLC) | En systematisk process för utveckling av programvarusystem i flera steg. |
| STRIDE | En Microsoft-definierad taxonomi för att kategorisera typer av hot. |
| Hotmodellering | En process för att identifiera potentiella säkerhetsproblem i program och system, åtgärda problem och verifiera säkerhetskontroller. |
Viktiga designstrategier
Hotmodellering är en viktig process som en organisation bör integrera i sin SDLC. Hotmodellering är inte bara en uppgift för utvecklare. Det är ett delat ansvar mellan:
- Arbetsbelastningsteamet, som ansvarar för de tekniska delarna av systemet.
- Affärsintressenter, som förstår affärsresultaten och har ett personligt intresse i säkerhet.
Det finns ofta en koppling mellan organisatoriskt ledarskap och tekniska team när det gäller affärskrav för kritiska arbetsbelastningar. Denna frånkoppling kan leda till oönskade resultat, särskilt för säkerhetsinvesteringar.
Överväg både affärs- och tekniska krav när du utför hotmodellering. Arbetsbelastningsteamet och företagets intressenter måste komma överens om säkerhetsspecifika behov för arbetsbelastningen så att de kan göra lämpliga åtgärder vid motåtgärderna.
Säkerhetskraven fungerar som vägledning för hela processen med hotmodeller. För att det ska bli en effektiv aktivitet bör arbetsbelastningsteamet ha säkerhetsrollen och vara utbildade i verktyg för hotmodeller.
Förstå omfattningen av övningen
En tydlig förståelse av omfattningen är mycket viktig för att kunna skapa effektiva hotmodeller. Den hjälper till att fokusera åtgärder och resurser på de mest kritiska områdena. Denna metod innebär att fastställa systemets omfattning, identifiera tillgångarna som behöver skyddas och förstå den investeringsnivå som krävs för säkerhetskontroller.
Samla information om varje komponent
Ett diagram över arbetsbelastningens arkitektur fungerar som en utgångspunkt när du samlar in information eftersom det ger en visuell representation av systemet. Diagrammet visar tekniska dimensioner av systemet. Den visar till exempel användarflöden, hur data flyttas genom olika delar av arbetsbelastningen, datakänslighetsnivåer och informationstyper samt identitetsåtkomstvägar.
Denna detaljerade analys kan ofta ge insikt i potentiella sårbarheter i designen. Det är viktigt att du förstår funktionerna i varje komponent och dess beroenden.
Utvärdera de potentiella hoten
Analysera varje komponent utifrån ett perspektiv. Till exempel, hur lätt kan en angripare få tillgång till känslig data? Om angripare får tillgång till miljön, kan de flytta i sidled och potentiellt komma åt eller till och med manipulera andra resurser? Dessa frågor hjälper dig att förstå hur en angripare kan utnyttja arbetsbelastningstillgångar.
Kategorisera hoten med hjälp av en branschmetodik
En metod för att klassificera hot är STRIDE, som Microsoft Security Development Lifecycle använder. Genom att kategorisera hot blir det lättare att förstå vilket hot det är och att använda lämpliga säkerhetskontroller.
Minska hoten
Dokumentera alla identifierade hot. För varje hot definierar du säkerhetskontroller och svaret på ett angrepp om kontrollerna misslyckas. Definiera en process och tidslinje som minimerar risken för identifierade säkerhetsproblem i arbetsbelastningen, så att säkerhetsproblemen inte kan lämnas obearbetade.
Använd metoden förutsätt intrång. Den kan hjälpa till att identifiera kontroller som behövs i utformningen för att minska riskerna om en primär säkerhetskontroll misslyckas. Utvärdera hur sannolikt det är att den primära kontrollen misslyckas. Om den misslyckas, i vilken utsträckning är den potentiella organisationsrisken? Hur effektiva är också ersättningarna? Utifrån utvärderingen kan du tillämpa ingående åtgärder för att åtgärda eventuella fel i säkerhetskontroller.
Här är ett exempel:
| Ställ denna fråga | Så här avgör du vilka kontroller som... |
|---|---|
| Är anslutningar autentiserade genom Microsoft Entra ID och använd moderna säkerhetsprotokoll som säkerhetsteamet godkänt: - Mellan användare och programmet? - Mellan programkomponenter och tjänster? - Mellan användare och en AI-assistent (agent)? |
Förhindra obehörig åtkomst till programkomponenterna och -data. |
| Begränsar du åtkomsten till endast konton som behöver skriva eller ändra data i programmet? | Förhindra obehörig datamanipulation eller ändring. |
| Loggas programaktiviteten och matas in i ett system för säkerhetsinformation och händelsehantering (SIEM) via Azure Monitor eller en liknande lösning? | Identifiera och undersöka angrepp snabbt. |
| Skyddas kritiska data med kryptering som säkerhetsteamet godkänner? | Förhindra obehörig kopiering av vilande data. |
| Är inkommande och utgående nätverkstrafiken begränsad till domäner som är godkända av säkerhetsteamen? | Förhindra obehörig kopiering av data. |
| Är appen skyddad mot åtkomst från externa/offentliga platser som kaféer genom att använda IP-brandväggar på miljön? | Förhindra åtkomst från obehöriga offentliga platser. |
| Lagrar programmet inloggningsuppgifter eller nycklar för att få åtkomst till andra program, databaser eller tjänster? | Identifiera om ett angrepp kan användas i andra system med hjälp av ditt program. |
| Kan du uppfylla regler och krav med hjälp av programkontrollerna? | Skydda användarnas privata data och undvika regelefterlevnad. |
Spåra resultat av hotmodeller
Vi rekommenderar att du använder ett verktyg för hotmodeller. Verktyg kan automatisera identifieringen av hot och skapa en omfattande rapport över alla identifierade hot. Var noga med att meddela resultaten till alla intresserade team.
Spåra resultaten som en del av arbetsbelastningsteamets eftersläpning för att möjliggöra ansvarsskyldighet i tid. Tilldela uppgifter till individer som är ansvariga för att minska en viss risk som hotmodellering identifierat.
När du lägger till nya funktioner i lösningen uppdaterar du hotmodellen och integrerar den i kodhanteringsprocessen. Om du hittar ett säkerhetsproblem, se till att det finns en process för att lösa problemet baserat på svårighetsgrad. Processen bör hjälpa dig att avgöra när och hur du ska åtgärda problemet (till exempel i nästa utgivningscykel eller i en snabbare utgivning).
Granska ofta verksamhetskritiska arbetsbelastningskrav
Träffa regelbundet med exekutiva sponsorer för att definiera krav. Med dessa granskningar kan du anpassa förväntningarna och säkerställa resursallokeringen till verksamheten.
Underlätta Power Platform
Power Platform bygger på en metodologi och en metod för säker design. Både kultur och metodologi stärks konstant genom Microsofts branschledande metoder för Security Development Lifecycle (SDL) och hotmodellering.
Den robusta granskningsprocessen av hotmodeller säkerställer att hot identifieras under designfasen, mildras och valideras för att säkerställa att de har mildrats.
Hotmodellering står också för alla ändringar av tjänster som redan sker kontinuerligt genom regelbundna granskningar. Om du använder STRIDE-modellen kan du lösa de vanligaste problemen med en osäker design.
Microsoft SDL är en motsvarighet till OWASP försäkringsmognadsmodell för programvara (SAMM). Båda bygger på att säker design ingår i webbprogrammets säkerhet.
Mer information finns i OWASP topp 10 risker: riskreduceringar i Power Platform.
Exempel
Detta exempel bygger på IT-miljön (informationsteknik) som etablerats i Rekommendationer för att upprätta en säkerhetsbaslinje. Den här metoden ger en vid förståelse av hotbildslandskapet i olika IT-scenarier.
Profiler för livscykeln för utveckling. Det finns många personer som är inblandade i en utvecklingslivscykel, inklusive utvecklare, testare, slutanvändare och administratörer. Alla av dem kan äventyras och utsätta din miljö för fara genom sårbarheter eller hot som skapats avsiktligt.
Potentiella problem. Angripare har ett brett utbud av tillgängliga verktyg som är lätta att använda när som helst för att utforska dina sårbarheter och starta ett angrepp.
Säkerhetskontroller. Som en del av hotanalys identifierar du Microsoft, Azure och Power Platform-säkerhetstjänster som ska användas för att skydda din lösning och hur effektiva de lösningarna är.
Logginsamling. Loggar från Power Platform resurser och andra komponenter som ingår i din arbetsbelastning, till exempel Azure-resurser och lokal-komponenter, kan skickas till Application Insights eller Microsoft Purview så att du förstår hur den lösning som utvecklats fungerar och försöker fånga upp initiala säkerhetsproblem.
Lösningen säkerhetsinformation och händelsehantering (SIEM). Microsoft Sentinel kan läggas till redan i ett tidigt stadium av lösningen så att du kan skapa vissa analysfrågor för att minska hot och säkerhetsproblem och förutse säkerhetsmiljön när du arbetar i produktion.
Relaterad information
- STRIDE-modell
- Hotmodellering
- Vanliga frågor och svar om Power Platform säkerhet
- Microsoft Identity Platform
- Security Development Lifecycle
- Azure AD Kontinuerlig tillgänglighetskontroll
- Säkerhetspolicy för innehåll
- Azure DDoS-skydd
- Microsoft Intune-inställningar för regelefterlevnad
Checklista för säkerhet
Se den fullständiga uppsättningen med rekommendationer.