SEC01-BP07 Mengidentifikasi ancaman dan memprioritaskan mitigasi menggunakan model ancaman

Lakukan pemodelan ancaman untuk mengidentifikasi dan memelihara up-to-date daftar potensi ancaman dan mitigasi terkait untuk beban kerja Anda. Tentukan prioritas ancaman dan sesuaikan mitigasi kontrol keamanan Anda untuk mencegah, mendeteksi, dan merespons ancaman. Anda harus memeriksa kembali dan mempertahankan hal ini dengan mempertimbangkan beban kerja Anda, serta lanskap keamanan yang terus berubah.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak diterapkan: Tinggi

Panduan implementasi

Apa itu pemodelan ancaman?

“Pemodelan ancaman bekerja untuk mengidentifikasi, berkomunikasi, dan memahami ancaman dan mitigasi dalam konteks melindungi sesuatu yang bernilai.” — Proyek Keamanan Aplikasi Web Terbuka (OWASP) Pemodelan Ancaman Aplikasi

Mengapa Anda harus menjadi model ancaman?

Sistem begitu kompleks. Kompleksitas dan kemampuannya akan makin meningkat seiring waktu, sehingga memberikan nilai bisnis yang lebih banyak dan meningkatkan keterlibatan serta kepuasan pelanggan. Artinya, keputusan desain IT perlu mempertimbangkan peningkatan jumlah kasus penggunaan. Perubahan kompleksitas dan jumlah kasus penggunaan ini biasanya menjadikan pendekatan tidak terstruktur tidak efektif untuk menemukan temuan tentang ancaman dan memitigasinya. Maka, Anda memerlukan pendekatan sistematis untuk menghitung potensi ancaman terhadap sistem, serta untuk melakukan dan memprioritaskan mitigasi untuk memastikan organisasi Anda dapat meningkatkan postur keamanan sistem secara keseluruhan dengan maksimal meski dengan sumber daya terbatas.

Pemodelan ancaman dirancang untuk memberikan pendekatan sistematis ini, yang bertujuan untuk menemukan temuan tentang masalah dan mengatasi masalah tersebut dalam proses desain lebih awal, saat biaya dan upaya mitigasi relatif rendah dibandingkan setelahnya dalam siklus hidup. Pendekatan ini sejalan dengan prinsip industri keamanan shift-left. Pada intinya, pemodelan ancaman akan terintegrasi dengan proses manajemen risiko organisasi serta membantu menentukan kontrol mana yang akan diimplementasikan menggunakan pendekatan berbasis ancaman.

Kapan pemodelan ancaman harus dilakukan?

Mulai pemodelan ancaman dalam siklus hidup beban kerja Anda sedini mungkin. Hal ini membuat Anda lebih fleksibel dalam menentukan tindakan untuk mengatasi ancaman yang teridentifikasi. Seperti halnya bug perangkat lunak, makin dini Anda mengidentifikasi ancaman, makin hemat biaya penanganannya. Model ancaman adalah dokumen hidup (living document) dan akan terus berkembang seiring perubahan beban kerja Anda. Tinjau kembali untuk mempertahankan model ancaman Anda dari waktu ke waktu, termasuk saat terjadi perubahan besar, perubahan dalam lanskap ancaman, atau saat Anda mengadopsi fitur atau layanan baru.

Langkah-langkah implementasi

Bagaimana kita bisa melakukan pemodelan ancaman?

Pemodelan ancaman bisa dijalankan dengan banyak cara. Seperti halnya bahasa pemrograman, setiap model memiliki kelebihan dan kekurangannya masing-masing. Pilih cara yang paling tepat untuk Anda. Salah satu pendekatannya adalah memulai dengan Shostack's 4 Question Frame for Threat Modeling, yang mengajukan pertanyaan terbuka untuk memberikan struktur pada latihan pemodelan ancaman Anda:

1. Apa yang sedang dikerjakan?

   Pertanyaan ini bertujuan untuk membantu memahami dan menentukan sistem yang sedang Anda bangun serta detail sistem tersebut yang relevan dengan keamanan. Membuat model atau diagram adalah cara paling populer untuk menjawab pertanyaan ini, karena membantu Anda memvisualisasikan apa yang Anda bangun, misalnya, menggunakan diagram alir data. Menuliskan asumsi dan detail penting tentang sistem Anda juga dapat membantu Anda menentukan cakupan. Ini memungkinkan semua orang yang berkontribusi pada model ancaman untuk fokus pada hal yang sama, dan menghindari jalan memutar yang memakan waktu ke dalam out-of-scope topik (termasuk versi sistem Anda yang kedaluwarsa). Misalnya, jika Anda sedang membuat aplikasi web, sepertinya tidak layak untuk membuang waktu melakukan pemodelan ancaman untuk urutan boot tepercaya pada sistem operasi untuk klien browser karena desain Anda tidak akan dapat memengaruhi hal ini.

2. Apa yang bisa salah?

   Di sini Anda dapat mengidentifikasi ancaman terhadap sistem Anda. Ancaman adalah tindakan atau peristiwa yang disengaja atau tidak disengaja, yang dampaknya tidak diharapkan dan dapat memengaruhi keamanan sistem Anda. Tanpa mengetahui dengan jelas apa saja potensi permasalahannya, Anda tidak akan tahu cara penanganannya.

   Tidak ada daftar khusus tentang apa saja masalah yang dapat terjadi. Membuat daftar ini membutuhkan curah pendapat dan kolaborasi antara semua individu dalam tim Anda dan persona relevan yang terlibat dalam latihan pemodelan ancaman. Anda dapat membantu brainstorming Anda dengan menggunakan model untuk mengidentifikasi ancaman, seperti, yang menyarankan berbagai kategori untuk dievaluasi: Spoofing STRIDE, Tampering, Repudiation, Information Disclosure, Denial of Service, dan Elevation of privilege. Selain itu, Anda mungkin ingin membantu brainstorming dengan meninjau daftar dan penelitian yang ada untuk mendapatkan inspirasi, termasuk 10 OWASP Teratas, Katalog Ancaman, dan katalog HiTrust ancaman organisasi Anda sendiri.

3. Apa yang akan kita lakukan tentang hal itu?

   Sama seperti pertanyaan sebelumnya, tidak ada daftar khusus untuk semua kemungkinan mitigasi. Input dalam langkah ini adalah ancaman yang teridentifikasi, pelaku, dan area peningkatan dari langkah sebelumnya.

   Keamanan dan kepatuhan merupakan tanggung jawab bersama antara Anda dan AWS. Perlu dipahami bahwa pertanyaan “Tindakan apa yang akan kita lakukan?” harus disertai dengan pertanyaan “Siapa yang bertanggung untuk melakukan hal ini?”. Memahami keseimbangan tanggung jawab antara Anda dan AWS membantu Anda menjangkau latihan pemodelan ancaman Anda dengan mitigasi yang berada di bawah kendali Anda, yang biasanya merupakan kombinasi opsi konfigurasi AWS layanan dan mitigasi spesifik sistem Anda sendiri.

   Untuk AWS bagian dari tanggung jawab bersama, Anda akan menemukan bahwa AWS layanan berada dalam lingkup banyak program kepatuhan. Program-program ini membantu Anda memahami kontrol yang kuat AWS untuk menjaga keamanan dan kepatuhan cloud. Laporan audit dari program ini tersedia untuk diunduh bagi AWS pelanggan AWS Artifact.

   Terlepas dari AWS layanan mana yang Anda gunakan, selalu ada elemen tanggung jawab pelanggan, dan mitigasi yang selaras dengan tanggung jawab ini harus dimasukkan dalam model ancaman Anda. Untuk mitigasi kontrol keamanan untuk AWS layanan itu sendiri, Anda ingin mempertimbangkan untuk menerapkan kontrol keamanan di seluruh domain, termasuk domain seperti identitas dan manajemen akses (otentikasi dan otorisasi), perlindungan data (saat istirahat dan dalam perjalanan), keamanan infrastruktur, pencatatan, dan pemantauan. Dokumentasi untuk setiap AWS layanan memiliki bagian keamanan khusus yang memberikan panduan tentang kontrol keamanan untuk dipertimbangkan sebagai mitigasi. Pertimbangkan kode yang Anda tulis dan dependensi kodenya karena hal ini sangat penting, serta tentukan kontrol yang dapat Anda terapkan untuk mengatasi ancaman. Kontrol ini bisa berupa hal-hal seperti validasi input, penanganan sesi, dan dan penanganan batas. Fokus pada kode kustom karena sebagian besar kerentanan seringnya terjadi di area ini.

4. Apakah kita melakukan pekerjaan dengan baik?

   Tujuannya adalah agar tim dan organisasi Anda dapat meningkatkan kualitas model ancaman dan kecepatan dalam melakukan pemodelan ancaman dari waktu ke waktu. Peningkatan ini adalah hasil dari gabungan praktik, pembelajaran, pengajaran, dan peninjauan. Untuk membahas lebih dalam dan langsung, disarankan agar Anda dan tim Anda menyelesaikan Pemodelan ancaman dengan cara yang tepat untuk kursus pelatihan pembangun atau lokakarya. Selain itu, jika Anda mencari panduan tentang cara mengintegrasikan pemodelan ancaman ke dalam siklus pengembangan aplikasi organisasi Anda, lihat Cara mendekati pos pemodelan ancaman di Blog AWS Keamanan.

Komposer Ancaman

Untuk membantu dan memandu Anda dalam melakukan pemodelan ancaman, pertimbangkan untuk menggunakan alat Threat Composer, yang bertujuan untuk mengurangi Anda time-to-value saat pemodelan ancaman. Alat ini membantu Anda melakukan hal berikut:

• Tulis pernyataan ancaman yang berguna yang selaras dengan tata bahasa ancaman yang bekerja dalam suatu alur kerja non-linier alami

• Menghasilkan model ancaman yang dapat dibaca manusia

• Membuat model ancaman yang dapat dibaca mesin untuk memungkinkan Anda memperlakukan model ancaman sebagai kode

• Membantu Anda mengidentifikasi area peningkatan kualitas dan cakupan dengan cepat menggunakan Dasbor Wawasan

Untuk referensi lebih lanjut, silakan kunjungi Komposer Ancaman dan beralih ke Contoh Ruang Kerja yang ditentukan sistem.

Sumber daya

Praktik-praktik terbaik terkait:

• SEC01-BP03 Mengidentifikasi dan memvalidasi tujuan pengendalian

• SEC01-BP04 Tetap up to date dengan ancaman dan rekomendasi keamanan

• SEC01-BP05 Mengurangi ruang lingkup manajemen keamanan

• SEC01-BP08 Mengevaluasi dan menerapkan layanan dan fitur keamanan baru secara teratur

Dokumen terkait:

• Cara mendekati pemodelan ancaman (Blog AWS Keamanan)

• NIST: Panduan untuk Pemodelan Ancaman Sistem Data-Centric

Video terkait:

• AWS Summit ANZ 2021 - Cara mendekati pemodelan ancaman

• AWS Summit ANZ 2022 - Keamanan penskalaan — Optimalkan untuk pengiriman yang cepat dan aman

Pelatihan terkait:

• Pemodelan ancaman dengan cara yang tepat untuk pembangun — AWS Pelatihan mandiri virtual Skill Builder

• Pemodelan ancaman dengan cara yang tepat untuk pembangun — AWS Workshop

Alat terkait:

• Komposer Ancaman