SEC01-BP07 Identifica le minacce e dai priorità alle mitigazioni utilizzando un modello di minaccia

Esegui la modellazione delle minacce per identificare e mantenere un up-to-date registro delle potenziali minacce e delle relative mitigazioni per il tuo carico di lavoro. Definisci le priorità delle minacce e adatta le mitigazioni dei controlli di sicurezza per prevenire, intercettare e rispondere. Riesamina e mantieni questo aspetto nel contesto del tuo carico di lavoro e dell'evoluzione del panorama della sicurezza.

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

Che cos'è la modellazione delle minacce?

"La modellazione delle minacce mira a identificare, comunicare e comprendere minacce e mitigazioni nel contesto della protezione di qualcosa di valore". — Modellazione delle minacce delle applicazioni Open Web Application Security Project (OWASP)

Perché adottare la modellazione delle minacce?

I sistemi sono complessi, e nel tempo lo diventano sempre di più, e capaci di fornire un maggiore valore aziendale e una maggiore soddisfazione e coinvolgimento dei clienti. Ciò significa che le decisioni di progettazione IT devono tenere conto di un numero sempre maggiore di casi d'uso. Questa complessità e il numero di combinazioni di casi d'uso rendono in genere gli approcci non strutturati inefficaci per individuare e mitigare le minacce. È invece necessario un approccio sistematico per enumerare le potenziali minacce al sistema ed elaborare le mitigazioni, oltre che per stabilirne le priorità per assicurarsi che le risorse limitate dell'organizzazione abbiano il massimo impatto nel migliorare lo stato di sicurezza complessiva del sistema.

La modellazione delle minacce è progettata per offrire questo approccio sistematico, con l'obiettivo di trovare e affrontare i problemi nelle prime fasi del processo di progettazione, quando le mitigazioni hanno un costo e un impegno relativi bassi rispetto alle fasi successive del ciclo di vita. Questo approccio è in linea con il principio di sicurezza shift-left. In definitiva, la modellazione delle minacce si integra con il processo di gestione del rischio di un'organizzazione e aiuta a prendere decisioni sui controlli da implementare utilizzando un approccio orientato alle minacce.

Quando eseguire la modellazione delle minacce?

La modellazione delle minacce deve essere avviata il prima possibile nel ciclo di vita del carico di lavoro, in modo da avere una maggiore flessibilità di intervento sulle minacce identificate. Come per i bug del software, prima si identificano le minacce, più è conveniente affrontarle. Un modello di minacce è un documento vivo e deve continuare a evolvere in base ai cambiamenti dei carichi di lavoro. I modelli di minaccia vanno riesaminati nel tempo, anche in caso di modifiche importanti, di cambiamenti nel panorama delle minacce o di adozione di nuove funzionalità o servizi.

Passaggi dell'implementazione

In che modo è possibile eseguire la modellazione delle minacce?

Esistono diversi modi per eseguire la modellazione delle minacce. Come per i linguaggi di programmazione, anche in questo caso ci sono vantaggi e svantaggi e bisogna scegliere il metodo più adatto alle proprie esigenze. Un approccio consiste nell'iniziare con 4 Question Frame for Threat Modeling di Shostack, che pone domande aperte per fornire una struttura per il tuo esercizio di modellazione delle minacce:

A cosa si sta lavorando?

Questa domanda ha lo scopo di aiutare a comprendere e concordare il sistema che si sta costruendo e i dettagli di tale sistema che sono rilevanti per la sicurezza. La creazione di un modello o di un diagramma è la soluzione più comune per rispondere a questa domanda, in quanto consente di visualizzare ciò che si sta creando, ad esempio utilizzando un diagramma di flusso dei dati. Scrivere ipotesi e dettagli importanti del sistema aiuta anche a definire l'ambito di applicazione. Ciò consente a tutti coloro che contribuiscono al modello di minaccia di concentrarsi sulla stessa cosa ed evitare lunghe deviazioni su out-of-scope argomenti (comprese le versioni obsolete del sistema). Ad esempio, se si sta realizzando un'applicazione Web, probabilmente non vale la pena procedere alla modellazione per la sequenza di avvio attendibile del sistema operativo per i browser client, poiché non si ha la possibilità di influire su questo aspetto con il proprio progetto.
Che cosa può andare storto?

In questa fase si identificano le minacce al sistema. Le minacce sono azioni o eventi accidentali o intenzionali che producono impatti indesiderati e potrebbero compromettere la sicurezza del sistema. Senza una visione chiara di ciò che potrebbe andare storto, non è possibile fare nulla per evitarlo.

Non esiste un elenco canonico di ciò che può andare storto. La creazione di questo elenco richiede un brainstorming e la collaborazione tra tutte le persone del team e le persone pertinenti coinvolte nell'esercizio di modellazione delle minacce. È possibile agevolare le proprie riflessioni utilizzando un modello per identificare le minacce, ad esempio suggerendo diverse categorie da valutare: contraffazione STRIDE, manomissione, ripudio, divulgazione di informazioni, negazione del servizio ed elevazione dei privilegi. Inoltre, potresti contribuire al brainstorming esaminando gli elenchi esistenti e facendo ricerche per trarne ispirazione, tra cui la Top 10, il Threat Catalog e il catalogo delle minacce della tua organizzazione. OWASP HiTrust
Cosa si intende fare al riguardo?

Come nel caso della domanda precedente, non esiste un elenco canonico di tutte le possibili mitigazioni. Gli input di questa fase sono le minacce, gli attori e le aree di miglioramento identificate nella fase precedente.

Sicurezza e conformità sono una responsabilità condivisa tra AWS e l'utente. È importante capire che quando si chiede "Che si farà al riguardo?", si chiede anche "Chi è responsabile? Chi ha la responsabilità di fare qualcosa?" Comprendere l'equilibrio delle responsabilità tra voi e AWS aiutarvi ad adattare l'esercizio di modellazione delle minacce alle mitigazioni che sono sotto il vostro controllo, che in genere sono una combinazione di opzioni di configurazione del AWS servizio e mitigazioni specifiche del sistema.

Per quanto riguarda la AWS parte della responsabilità condivisa, scoprirete che i AWS servizi rientrano nell'ambito di molti programmi di conformità. Questi programmi ti aiutano a comprendere i solidi controlli in atto AWS per mantenere la sicurezza e la conformità del cloud. I rapporti di controllo di questi programmi possono essere scaricati per AWS i clienti da AWS Artifact.

Indipendentemente dai AWS servizi utilizzati, esiste sempre un elemento di responsabilità del cliente e le mitigazioni in linea con queste responsabilità dovrebbero essere incluse nel modello di minaccia. Per mitigare il controllo di sicurezza AWS dei servizi stessi, è consigliabile prendere in considerazione l'implementazione di controlli di sicurezza su più domini, inclusi domini come la gestione delle identità e degli accessi (autenticazione e autorizzazione), la protezione dei dati (a riposo e in transito), la sicurezza dell'infrastruttura, la registrazione e il monitoraggio. La documentazione di ogni AWS servizio contiene un capitolo dedicato alla sicurezza che fornisce indicazioni sui controlli di sicurezza da considerare come mitigazioni. È importante considerare il codice che si sta scrivendo e le sue dipendenze e pensare ai controlli attuabili per affrontare queste minacce. Questi controlli potrebbero corrispondere a elementi quali la convalida degli input, la gestione delle sessioni e la gestione dei limiti. Spesso la maggior parte delle vulnerabilità viene introdotta nel codice personalizzato, quindi è bene concentrarsi su quest'area.
È stato fatto un buon lavoro?

L'obiettivo è il miglioramento da parte del team e dell'organizzazione sia della qualità dei modelli di minacce sia della relativa velocità di esecuzione nel tempo. Questi miglioramenti derivano da una combinazione di pratica, apprendimento, insegnamento e revisione. Per approfondire e sperimentare nella pratica, è consigliabile che tu e il tuo team completiate il corso di formazione Threat modeling the right way for builders training course o il workshop. Inoltre, se stai cercando indicazioni su come integrare la modellazione delle minacce nel ciclo di vita di sviluppo delle applicazioni della tua organizzazione, consulta il post How to approach threat modeling sul Security Blog. AWS

Threat Composer

Per aiutarti e guidarti nell'esecuzione della modellazione delle minacce, prendi in considerazione l'utilizzo dello strumento Threat Composer, che mira a ridurre i tempi di modellazione delle minacce. time-to-value Lo strumento consente di eseguire le seguenti operazioni:

Scrivere dichiarazioni utili sulle minacce in linea con la sintassi delle minacce che funzionino in un flusso di lavoro naturale non lineare
Generare un modello di minaccia leggibile dall'uomo
Generare un modello di minaccia leggibile dal computer per consentire la gestione dei modelli di minaccia come codice
Velocizzare l'individuazione delle aree di miglioramento della qualità e della copertura utilizzando l'area del pannello di controllo contenente le informazioni dettagliate

Per ulteriori informazioni, visita Threat Composer e passa all'area di lavoro esemplificativa definita dal sistema.

Risorse

Best practice correlate:

Documenti correlati:

Video correlati:

Formazione correlata:

Strumenti correlati:

Threat Composer

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

SEC01-BP06 Automatizza l'implementazione dei controlli di sicurezza standard

SEC01-BP08 Valuta e implementa regolarmente nuovi servizi e funzionalità di sicurezza