Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



14.08.2018

Zabezpieczenia prognostyczne

Sophos Email Security Advanced
10.08.2018

Polski Azure Stack...

Beyond.pl Data Center 2
07.08.2018

Zarządzanie urządzeniami...

Quest KACE Cloud MDM, KACE Systems Deployment Appliance (SDA)
03.08.2018

Multimodalny OS

SUSE Linux Enterprise 15
27.07.2018

Skalowalne all-flash

QSAN XCubeFAS XF2026D
24.07.2018

Interaktywne kioski

Pyramid Polytouch 32
20.07.2018

Laserowe benefity

Brother TonerBenefit
17.07.2018

Laptop konwertowalny

HP ProBook x360 440 G1
13.07.2018

Wiele kanałów komunikacji

Avaya IP Office

Microsoft Threat Modeling Tool 2016

Data publikacji: 25-07-2018 Autor: Piotr Michałkiewicz
RYS. 1. DIAGRAMY DFD (DATA...

Obserwując tempo zmian we współczesnym świecie, można powiedzieć, że nadeszły czasy, kiedy faktycznie zmiana jest codziennością, a zarządzanie zmianą stało się jednym z zadań współczesnego menedżera. Zwłaszcza menedżera odpowiedzialnego za obszar technologii teleinformatycznej oraz bezpieczeństwa. 

 

Czynnikiem napędzającym zmiany są nie tylko nowe wymagania biznesu dotyczące funkcjonalności poszczególnych usług i rozwiązań. Istotnym czynnikiem są przede wszystkim nowe regulacje, które od czasu do czasu powodują trzęsienie ziemi w świecie IT, np. ogólne rozporządzenie o ochronie danych (rodo) czy też dyrektywa dotycząca bezpieczeństwa sieci i systemów informatycznych (NIS). 
 
Jak to często bywa z regulacjami, dostosowywanie systemów informatycznych do ich wymagań zwykle odkładane jest na ostatnią chwilę. Wpływa to na wzrost szybkości ich wytwarzania, zwykle kosztem jakości. Z biznesowego punktu widzenia najważniejsza jest funkcjonalność, jednak zbyt duża szybkość wytwarzania jest przyczyną popełnianych błędów, które następnie przekładają się na występowanie podatności. Tymczasem niezawodność i bezpieczeństwo systemów informatycznych obecnie pełni ważną rolę i ma zasadnicze znaczenie zarówno dla działalności gospodarczej, jak i społecznej.
 
> MICROSOFT SDL I THREAT MODELING TOOL 2016
 
Niezwykle istotne jest systematyczne podejście do uwzględniania bezpieczeństwa na każdym etapie wytwarzania oprogramowania. Na rynku dostępnych jest wiele metodologii stosowanych w tym zakresie. Jedną z nich, szczególnie ukierunkowaną na bezpieczeństwo, jest metodologia Microsoft Security Development Lifecycle (SDL). Uwzględnia ona bezpieczeństwo na wszystkich etapach procesu rozwoju oprogramowania, a jej głównym celem jest zmniejszenie liczby luk w oprogramowaniu, poprzez wsparcie zespołów biorących udział w procesie jego tworzenia oraz zminimalizowanie kosztów wytwarzania. Znacznie mniej kosztowne jest bowiem uwzględnienie kwestii bezpieczeństwa w fazie projektowania niż pod koniec prac nad projektem (nie wspominając o kosztach usuwania luk w oprogramowaniu po udanym ataku). Metodologia ta nie dotyczy tylko programistów. W ramach zespołów związanych z wytwarzaniem oprogramowania można wyróżnić szereg ról związanych z obszarem bezpieczeństwa, m.in. audytorów, doradców, ekspertów i koordynatorów.
 
SDL składa się z ciągu działań pogrupowanych w siedem faz. Stanowią one tzw. działania obowiązkowe, które muszą zostać wykonane, żeby zachować zgodność z SDL. Nic jednak nie stoi na przeszkodzie, żeby w razie potrzeby dodać własne działania. W ramach SDL Microsoft dostarcza nie tylko dobrych praktyk, ale także narzędzi wspierających określone działania. Do tej grupy zalicza się m.in. aplikacja do modelowania zagrożeń – Microsoft Threat Modeling Tool 2016 (TMT 2016). 
 
Modelowanie zagrożeń to jedno z kluczowych działań w SDL, które wykonywane jest w fazie projektowania. Nie jest ono łatwe. Wymaga znajomości wielu zagadnień, m.in. identyfikacji i klasyfikacji zagrożeń. Z pewnością eksperci z tym sobie poradzą, ale co mają zrobić osoby, niebędące ekspertami w tym zakresie? I tu właśnie pojawia się Microsoft TMT 2016, aplikacja wspomagająca cały proces modelowania zagrożeń, która ułatwi pracę zarówno mniej zaawansowanym projektantom, jak i ekspertom. Zwłaszcza w przypadku prac nad dużymi i skomplikowanymi systemami internetowymi.
 
> DIAGRAMY DFD I KLASYFIKACJA ZAGROŻEŃ STRIDE
 
TMT 2016 do modelowania zagrożeń używa diagramów DFD (Data Flow Diagram), które są graficzną reprezentacją przepływu danych w systemie oraz procesów go przetwarzających. W przypadku diagramów DFD powstało kilka notacji graficznych. Rys. 1 przedstawia notację graficzną używaną przez Microsoft, która obejmuje następujące komponenty:
 
  • Process – odpowiada za transformację danych, przekształca dane wejściowe w wyjściowe, odzwierciedla funkcje realizowane przez system, np. usługi systemowe, demony, biblioteki DLL;
  • Interactor – element, który nie jest kontrolowany przez modelowany system, np. ludzie lub procesy zewnętrzne;
  • Data Store – magazyny danych, np. bazy danych, pliki, pamięć podręczna;
  • Data Flow – reprezentuje przepływ danych pomiędzy innymi elementami, np. komunikacja sieciowa, zdalne wywoływanie procedur;
  • Boundary – określa granicę przywilejów, poprzez przecięcie przepływu danych sygnalizuje przejście danych pomiędzy obszarami o różnych poziomach zaufania, np. gdy użytkownik o niskich uprawnieniach komunikuje się z procesem o wysokim poziomie uprawnień lub oddziela tryb pracy jądra systemu od kodu działającego w trybie użytkownika. Elementy tego typu nie są częścią standardowego modelu DFD.
 
Środowisko do projektowania diagramów pozwala na użycie w ramach jednego modelowanego systemu wielu diagramów. Możliwość ta jest szczególnie istotna przy modelowaniu zagrożeń dotyczących złożonych systemów, pozwalając na zachowanie odpowiedniej przejrzystości. Kolejne diagramy dodajemy, używając opcji Add New Diagram z menu Diagram. 
 
[...]
 
Autor jest audytorem wiodącym normy ISO/IEC 27001, specjalizuje się w audycie bezpieczeństwa informacji, danych osobowych oraz bezpieczeństwa systemów informatycznych. Ekspert w zakresie zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego.  

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2013 Presscom / Miesięcznik "IT Professional"