คำแนะนำสำหรับการวิเคราะห์ภัยคุกคาม
นำไปใช้กับคำแนะนำรายการตรวจสอบความปลอดภัย Power Platform Well-Architected:
| SE:02 | รวมการออกแบบที่ปลอดภัยโดยใช้การสร้างแบบจำลองภัยคุกคามเพื่อป้องกันการใช้งานที่ทำลายความปลอดภัย |
|---|
การวิเคราะห์ที่ครอบคลุมเพื่อระบุภัยคุกคาม การโจมตี ช่องโหว่ และมาตรการตอบโต้ถือเป็นสิ่งสำคัญในระหว่างขั้นตอนการออกแบบเวิร์กโหลด การสร้างแบบจำลองภัยคุกคามเป็นการฝึกหัดทางวิศวกรรมที่รวมถึงการกำหนดความต้องการด้านความปลอดภัย การระบุและการลดภัยคุกคาม และตรวจสอบการลดผลกระทบเหล่านั้น คุณสามารถใช้เทคนิคนี้ในทุกลำดับขั้นของการพัฒนาหรือการสร้างแอปพลิเคชัน แต่จะมีประสิทธิภาพสูงสุดในระหว่างลำดับขั้นการออกแบบฟังก์ชันใหม่
คู่มือนี้อธิบายคำแนะนำสำหรับการสร้างแบบจำลองภัยคุกคาม เพื่อให้คุณสามารถระบุช่องว่างด้านความปลอดภัยได้อย่างรวดเร็ว และออกแบบการป้องกันความปลอดภัยของคุณ
คำนิยาม
| เงื่อนไข | ข้อกำหนด |
|---|---|
| วงจรชีวิตการพัฒนาซอฟต์แวร์ (SDLC) | กระบวนการหลายขั้นตอนที่เป็นระบบสำหรับการพัฒนาระบบซอฟต์แวร์ |
| STRIDE | อนุกรมวิธานที่กำหนดโดย Microsoft สำหรับการจัดหมวดหมู่ประเภทของภัยคุกคาม |
| การสร้างแบบจำลองภัยคุกคาม | กระบวนการในการระบุช่องโหว่ด้านความปลอดภัยที่อาจเกิดขึ้นในแอปพลิเคชันและระบบ การลดความเสี่ยง และตรวจสอบมาตรการควบคุมความปลอดภัย |
กลยุทธ์การออกแบบที่สำคัญ
การสร้างแบบจำลองภัยคุกคามเป็นกระบวนการสำคัญที่องค์กรควรบูรณาการเข้ากับ SDLC การสร้างแบบจำลองภัยคุกคามไม่ใช่แค่งานของนักพัฒนาเท่านั้น แต่เป็นความรับผิดชอบร่วมกันระหว่าง:
- ทีมจัดการเวิร์กโหลดซึ่งรับผิดชอบด้านเทคนิคของระบบ
- ผู้เกี่ยวข้องทางธุรกิจที่เข้าใจผลลัพธ์ทางธุรกิจและมีผลประโยชน์ด้านความปลอดภัย
แต่มักจะมีความไม่เชื่อมโยงกันระหว่างผู้นำองค์กรและทีมเทคนิคเกี่ยวกับความต้องการทางธุรกิจสำหรับเวิร์กโหลดที่สำคัญ การขาดการเชื่อมต่อนี้อาจนำไปสู่ผลลัพธ์ที่ไม่พึงประสงค์ โดยเฉพาะอย่างยิ่งสำหรับการลงทุนด้านความปลอดภัย
พิจารณาทั้งความต้องการทางธุรกิจและทางเทคนิคเมื่อทำแบบฝึกหัดการสร้างแบบจำลองภัยคุกคาม ทีมจัดการเวิร์กโหลดและผู้เกี่ยวข้องทางธุรกิจต้องตกลงกันเกี่ยวกับความต้องการเฉพาะด้านความปลอดภัยของเวิร์กโหลด เพื่อให้สามารถลงทุนได้อย่างเหมาะสมในมาตรการตอบโต้
ความต้องการด้านความปลอดภัยทำหน้าที่เป็นแนวทางสำหรับกระบวนการสร้างแบบจำลองภัยคุกคามทั้งหมด เพื่อให้การฝึกปฏิบัติมีประสิทธิผล ทีมจัดการเวิร์กโหลดควรมีกรอบความคิดด้านความปลอดภัย และได้รับการฝึกอบรมเกี่ยวกับเครื่องมือสร้างแบบจำลองภัยคุกคาม
เข้าใจขอบเขตของการฝึก
ความเข้าใจที่ชัดเจนเกี่ยวกับขอบเขตถือเป็นสิ่งสำคัญสำหรับการสร้างแบบจำลองภัยคุกคามที่มีประสิทธิภาพ ช่วยเน้นความพยายามและทรัพยากรในด้านที่สำคัญที่สุด กลยุทธ์นี้เกี่ยวข้องกับการกำหนดขอบเขตของระบบ การจัดทำรายการแอสเซทที่จำเป็นต้องได้รับการปกป้อง และการทำความเข้าใจระดับการลงทุนที่จำเป็นในมาตรการควบคุมความปลอดภัย
รวบรวมข้อมูลเกี่ยวกับแต่ละส่วนประกอบ
แผนผังสถาปัตยกรรมเวิร์กโหลดเป็นจุดเริ่มต้นสำหรับการรวบรวมข้อมูล เนื่องจากเป็นการแสดงภาพของระบบ แผนผังจะเน้นมิติทางเทคนิคของระบบ ตัวอย่างเช่น แสดงโฟลว์ของผู้ใช้ วิธีเคลื่อนย้ายข้อมูลผ่านส่วนต่างๆ ของเวิร์กโหลด ระดับข้อมูล ความสำคัญ และประเภทข้อมูล และเส้นทางการเข้าถึงข้อมูลประจำตัว
การวิเคราะห์โดยละเอียดนี้มักจะให้ข้อมูลเชิงลึกเกี่ยวกับช่องโหว่ที่อาจเกิดขึ้นในการออกแบบ สิ่งสำคัญคือ ต้องเข้าใจฟังก์ชันการทำงานของแต่ละส่วนประกอบและการขึ้นต่อกันของส่วนประกอบนั้น
ประเมินภัยคุกคามที่อาจเกิดขึ้น
วิเคราะห์แต่ละส่วนประกอบจากมุมมองภายนอก ตัวอย่างเช่น ผู้โจมตีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ง่ายเพียงใด หากผู้โจมตีสามารถเข้าถึงสภาพแวดล้อมได้ พวกเขาสามารถเคลื่อนที่ไปทางด้านข้างและอาจเข้าถึงหรือจัดการทรัพยากรอื่นๆ ได้หรือไม่ คำถามเหล่านี้ช่วยให้คุณเข้าใจว่าผู้โจมตีอาจใช้ประโยชน์จากแอสเซทของเวิร์กโหลดได้อย่างไร
จำแนกภัยคุกคามโดยใช้ระเบียบวิธีทางอุตสาหกรรม
วิธีการหนึ่งในการจำแนกประเภทภัยคุกคามคือ STRIDE ซึ่ง Microsoft Security Development Lifecycle ใช้งาน การจัดประเภทภัยคุกคามช่วยให้คุณเข้าใจลักษณะของภัยคุกคามแต่ละรายการและใช้มาตรการควบคุมความปลอดภัยที่เหมาะสม
ลดภัยคุกคาม
จัดทำเอกสารภัยคุกคามที่ระบุทั้งหมด สำหรับภัยคุกคามแต่ละรายการ ให้กำหนดมาตรการควบคุมความปลอดภัยและการรับมือการโจมตีหากมาตรการเหล่านั้นล้มเหลว กำหนดกระบวนการและไทม์ไลน์ที่จะลดความเสี่ยงจากช่องโหว่ที่ระบุในเวิร์กโหลดให้เหลือน้อยที่สุด เพื่อไม่ให้ช่องโหว่เหล่านั้นถูกปล่อยไว้โดยไม่ได้รับการจัดการ
ใช้วิธีการ สมมติว่ามีการละเมิด สามารถช่วยระบุมาตรการควบคุมที่จำเป็นในการออกแบบเพื่อลดความเสี่ยงหากมาตรการควบคุมความปลอดภัยหลักล้มเหลว ประเมินความเป็นไปได้ที่มาตรการควบคุมหลักจะล้มเหลว หากล้มเหลว ขอบเขตของความเสี่ยงขององค์กรที่อาจเกิดขึ้นเป็นเท่าใด นอกจากนี้ มาตรการควบคุมทดแทนมีประสิทธิผลอย่างไร จากการประเมิน ให้ใช้มาตรการป้องกันเชิงลึกเพื่อแก้ไขความล้มเหลวที่อาจเกิดขึ้นของมาตรการควบคุมความปลอดภัย
ตัวอย่างมีดังนี้:
| ถามคำถามนี้ | เพื่อกำหนดมาตรการควบคุมที่จะ... |
|---|---|
| การเชื่อมต่อได้รับการรับรองความถูกต้องผ่าน Microsoft Entra ID และใช้โปรโตคอลความปลอดภัยสมัยใหม่ที่ทีมความปลอดภัยอนุมัติ: - ระหว่างผู้ใช้กับแอปพลิเคชันหรือไม่ - ระหว่างส่วนประกอบของแอปพลิเคชันกับบริการหรือไม่ - ระหว่างผู้ใช้กับผู้ช่วย AI (เอเจนต์) ใช่หรือไม่ |
ป้องกันการเข้าถึงส่วนประกอบและข้อมูลของแอปพลิเคชันโดยไม่ได้รับอนุญาต |
| คุณกำลังจำกัดการเข้าถึงเฉพาะบัญชีที่จำเป็นต้องเขียนหรือแก้ไขข้อมูลในแอปพลิเคชันหรือไม่ | ป้องกันการดัดแปลงหรือแก้ไขข้อมูลที่ไม่ได้รับอนุญาต |
| กิจกรรมของแอปพลิเคชันถูกบันทึกและป้อนเข้าสู่ระบบข้อมูลความปลอดภัยและการจัดการเหตุการณ์ (SIEM) ผ่าน Azure Monitor หรือโซลูชันที่คล้ายกันหรือไม่ | ตรวจจับและตรวจสอบการโจมตีอย่างรวดเร็ว |
| ข้อมูลสำคัญได้รับการปกป้องด้วยการเข้ารหัสที่ทีมความปลอดภัยอนุมัติหรือไม่ | ป้องกันการคัดลอกข้อมูลขณะเก็บรักษาโดยไม่ได้รับอนุญาต |
| การรับส่งข้อมูลบนเครือข่ายขาเข้าและขาออกแยกออกจากโดเมนที่ได้รับอนุมัติจากทีมความปลอดภัยหรือไม่ | ป้องกันการคัดลอกข้อมูลโดยไม่ได้รับอนุญาต |
| แอปพลิเคชันได้รับการป้องกันการเข้าถึงจากสถานที่ภายนอก/สาธารณะ เช่น ร้านกาแฟ โดยใช้ไฟร์วอลล์ IP บนสภาพแวดล้อมหรือไม่ | ป้องกันการเข้าถึงจากสถานที่สาธารณะที่ไม่ได้รับอนุญาต |
| แอปพลิเคชันจัดเก็บข้อมูลประจำตัวการลงชื่อเข้าใช้หรือคีย์เพื่อเข้าถึงแอปพลิเคชัน ฐานข้อมูล หรือบริการอื่นๆ หรือไม่ | ระบุว่าการโจมตีสามารถใช้แอปพลิเคชันของคุณเพื่อโจมตีระบบอื่นได้หรือไม่ |
| มาตรการควบคุมของแอปพลิเคชันช่วยให้คุณปฏิบัติตามข้อกำหนดด้านกฎระเบียบหรือไม่ | ปกป้องข้อมูลส่วนตัวของผู้ใช้และหลีกเลี่ยงค่าปรับตามกฎระเบียบ |
ติดตามผลการสร้างแบบจำลองภัยคุกคาม
เราขอแนะนำให้คุณใช้ เครื่องมือจำลองภัยคุกคาม เครื่องมือต่างๆ สามารถทำให้กระบวนการระบุภัยคุกคามเป็นอัตโนมัติและสร้างรายงานที่ครอบคลุมเกี่ยวกับภัยคุกคามที่ระบุทั้งหมด อย่าลืมแจ้งผลลัพธ์ไปยังทีมที่สนใจทั้งหมด
ติดตามผลลัพธ์โดยเป็นส่วนหนึ่งของแบคล็อกของทีมจัดการเวิร์กโหลดเพื่อให้สามารถรับผิดชอบได้ทันท่วงที มอบหมายงานให้กับบุคคลที่รับผิดชอบในการลดความเสี่ยงเฉพาะตามการสร้างแบบจำลองภัยคุกคามที่ระบุ
เมื่อคุณเพิ่มคุณลักษณะใหม่ให้กับโซลูชัน ให้อัปเดตแบบจำลองภัยคุกคามและรวมเข้ากับกระบวนการจัดการโค้ด หากคุณพบปัญหาด้านความปลอดภัย โปรดตรวจสอบให้แน่ใจว่ามีกระบวนการคัดกรองปัญหาตามความรุนแรง กระบวนการนี้จะช่วยคุณกำหนดเวลาและวิธีแก้ไขปัญหา (เช่น ในรอบการเปิดใช้งานครั้งถัดไปหรือในการเปิดใช้งานที่เร็วขึ้น)
ตรวจสอบความต้องการด้านเวิร์กโหลดที่มีความสำคัญต่อธุรกิจเป็นประจำ
ประชุมกับผู้สนับสนุนที่เป็นผู้บริหารเป็นประจำเพื่อกำหนดความต้องการ การตรวจสอบเหล่านี้เป็นโอกาสในการปรับความคาดหวังและรับรองการจัดสรรทรัพยากรในการปฏิบัติงานให้กับโครงการริเริ่ม
การอำนวยความสะดวกของ Power Platform
Power Platform สร้างขึ้นจากวัฒนธรรมและวิธีการของการออกแบบที่ปลอดภัย ทั้งวัฒนธรรมและวิธีการได้รับการเสริมความแข็งแกร่งอย่างต่อเนื่องผ่านแนวทางปฏิบัติ วัฏจักรการพัฒนาความปลอดภัย (SDL) ชั้นนำในอุตสาหกรรมของ Microsoft และ รูปแบบความเสี่ยง
กระบวนการตรวจสอบรูปแบบความเสี่ยงช่วยให้มั่นใจได้ว่ามีการระบุภัยคุกคามในระหว่างขั้นตอนการออกแบบ ลดภัยคุกคาม และตรวจสอบเพื่อให้แน่ใจว่าภัยคุกคามได้รับการบรรเทา
รูปแบบความเสี่ยงยังคำนึงถึงการเปลี่ยนแปลงบริการทั้งหมดที่มีอยู่แล้วผ่านการตรวจสอบอย่างสม่ำเสมออย่างต่อเนื่อง การใช้ แบบจำลอง STRIDE ช่วยแก้ไขปัญหาที่พบบ่อยที่สุดเกี่ยวกับการออกแบบที่ไม่ปลอดภัย
SDL ของ Microsoft เทียบเท่ากับ OWASP Software Assurance Maturity Model (SAMM) ทั้งสองสร้างขึ้นบนสมมติฐานที่ว่าการออกแบบที่ปลอดภัยเป็นส่วนสำคัญในการรักษาความปลอดภัยของเว็บแอปพลิเคชัน
สำหรับข้อมูลเพิ่มเติม โปรดดู ความเสี่ยง 10 อันดับแรกของ OWASP: การลดความเสี่ยงใน Power Platform
ตัวอย่างเช่น
ตัวอย่างนี้สร้างจากสภาพแวดล้อมเทคโนโลยีสารสนเทศ (IT) ที่กำหนดไว้ใน คำแนะนำสำหรับการสร้างพื้นฐานการรักษาความปลอดภัย แนวทางนี้ให้ความเข้าใจอย่างกว้างๆ เกี่ยวกับภาพรวมภัยคุกคามในสถานการณ์ด้านไอทีต่างๆ
บุคคลในวงจรชีวิตการพัฒนา มีบุคคลมากมายที่เกี่ยวข้องกับวงจรชีวิตการพัฒนา ได้แก่ นักพัฒนา ผู้ทดสอบ ผู้ใช้ขั้นสุดท้าย และผู้ดูแลระบบ ทั้งหมดอาจถูกละเมิดความปลอดภัยและทำให้สภาพแวดล้อมของคุณตกอยู่ในความเสี่ยงจากช่องโหว่หรือภัยคุกคามที่สร้างขึ้นโดยเจตนาได้
ผู้โจมตีที่เป็นไปได้ ผู้โจมตีพิจารณาว่ามีเครื่องมือมากมายที่พร้อมใช้งานได้อย่างง่ายดายตลอดเวลาเพื่อสำรวจจุดอ่อนของคุณและเริ่มการโจมตี
มาตรการควบคุมความปลอดภัย ในส่วนหนึ่งของการวิเคราะห์ภัยคุกคาม ให้ระบุบริการด้านความปลอดภัยของ Microsoft, Azure และ Power Platform ที่จะใช้เพื่อปกป้องโซลูชันของคุณ และประสิทธิภาพของโซลูชันเหล่านั้น
การรวบรวมไฟล์บันทึก ไฟล์บันทึกจากทรัพยากร Power Platform และส่วนประกอบอื่นๆ ที่รวมอยู่ในเวิร์กโหลดของคุณ เช่น ทรัพยากร Azure และส่วนประกอบในสถานที่อาจถูกส่งไปยัง Application Insights หรือ Microsoft Purview เพื่อที่คุณจะได้เข้าใจลักษณะการทำงานของโซลูชันของคุณที่พัฒนาขึ้น และพยายามหาช่องโหว่ตั้งแต่เริ่มแรก
โซลูชันการจัดการเหตุการณ์ของข้อมูลความปลอดภัย (SIEM) Microsoft Sentinel อาจถูกเพิ่มเข้ามาแม้จะอยู่ในช่วงเริ่มต้นของโซลูชัน เพื่อให้คุณสามารถสร้างแบบสอบถามการวิเคราะห์บางอย่างเพื่อลดภัยคุกคามและช่องโหว่ โดยคาดการณ์สภาพแวดล้อมความปลอดภัยของคุณเมื่อคุณใช้งานจริง
ข้อมูลที่เกี่ยวข้อง
- โมเดล STRIDE
- รูปแบบความเสี่ยง
- Power Platform คำถามที่ถามบ่อยเกี่ยวกับความปลอดภัย
- แพลตฟอร์มข้อมูลประจำตัวของ Microsoft
- วัฏจักรการพัฒนาความปลอดภัย
- การประเมินการเข้าถึงอย่างต่อเนื่องของ Azure AD
- นโยบายความปลอดภัยของเนื้อหา
- Azure DDoS Protection
- การตั้งค่านโยบายการปฏิบัติตามข้อกำหนดของ Microsoft Intune
รายการตรวจสอบความปลอดภัย
โปรดดูชุดคำแนะนำทั้งหมด