hacktricks/generic-methodologies-and-resources/threat-modeling.md

7.5 KiB

Threat Modeling

Threat Modeling

Karibu kwenye mwongozo wa kina wa HackTricks kuhusu Threat Modeling! Anza uchunguzi wa kipengele hiki muhimu cha usalama wa mtandao, ambapo tunatambua, kuelewa, na kupanga mikakati dhidi ya udhaifu wa uwezekano katika mfumo. Thread hii inatoa mwongozo wa hatua kwa hatua uliojaa mifano halisi, programu za kusaidia, na maelezo rahisi kueleweka. Inafaa kwa wapya na wataalamu wenye uzoefu wanaotafuta kuimarisha ulinzi wao wa usalama wa mtandao.

Commonly Used Scenarios

  1. Software Development: Kama sehemu ya Mzunguko wa Maisha ya Maendeleo ya Programu Salama (SSDLC), threat modeling husaidia katika kutambua vyanzo vya udhaifu katika hatua za awali za maendeleo.
  2. Penetration Testing: Mfumo wa Kiwango cha Utekelezaji wa Upimaji wa Penetration (PTES) unahitaji threat modeling ili kuelewa udhaifu wa mfumo kabla ya kufanya mtihani.

Threat Model in a Nutshell

Mfano wa Threat Model kawaida huwakilishwa kama mchoro, picha, au aina nyingine ya uwasilishaji wa kuona unaoonyesha usanifu uliopangwa au ujenzi wa sasa wa programu. Inafanana na mchoro wa mtiririko wa data, lakini tofauti kuu iko katika muundo wake unaolenga usalama.

Mifano ya vitisho mara nyingi ina vipengele vilivyowekwa kwa rangi nyekundu, vinavyowakilisha udhaifu, hatari, au vizuizi vya uwezekano. Ili kurahisisha mchakato wa kutambua hatari, triad ya CIA (Usiri, Uaminifu, Upatikanaji) inatumika, ik forming msingi wa mbinu nyingi za threat modeling, huku STRIDE ikiwa moja ya maarufu zaidi. Hata hivyo, mbinu iliyochaguliwa inaweza kutofautiana kulingana na muktadha maalum na mahitaji.

The CIA Triad

Triad ya CIA ni mfano unaotambulika sana katika uwanja wa usalama wa habari, ikisimama kwa Usiri, Uaminifu, na Upatikanaji. Nguzo hizi tatu zinaunda msingi ambao hatua nyingi za usalama na sera zimejengwa, ikiwa ni pamoja na mbinu za threat modeling.

  1. Usiri: Kuhakikisha kwamba data au mfumo haupatikani kwa watu wasioidhinishwa. Hii ni kipengele cha kati cha usalama, kinachohitaji udhibiti sahihi wa ufikiaji, usimbaji, na hatua nyingine za kuzuia uvunjaji wa data.
  2. Uaminifu: Usahihi, uthabiti, na uaminifu wa data katika mzunguko wake wa maisha. Kanuni hii inahakikisha kwamba data haibadilishwi au kudhuruwa na wahusika wasioidhinishwa. Mara nyingi inahusisha checksums, hashing, na mbinu nyingine za uthibitishaji wa data.
  3. Upatikanaji: Hii inahakikisha kwamba data na huduma zinapatikana kwa watumiaji walioidhinishwa wanapohitajika. Hii mara nyingi inahusisha redundancy, uvumilivu wa makosa, na usanifu wa upatikanaji wa juu ili kuweka mifumo ikifanya kazi hata mbele ya usumbufu.

Threat Modeling Methodlogies

  1. STRIDE: Iliyotengenezwa na Microsoft, STRIDE ni kifupi cha Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, and Elevation of Privilege. Kila kundi linawakilisha aina ya tishio, na mbinu hii hutumiwa mara nyingi katika hatua ya kubuni ya programu au mfumo ili kutambua vitisho vya uwezekano.
  2. DREAD: Hii ni mbinu nyingine kutoka Microsoft inayotumika kwa tathmini ya hatari ya vitisho vilivyotambuliwa. DREAD inasimama kwa Damage potential, Reproducibility, Exploitability, Affected users, and Discoverability. Kila moja ya mambo haya inapata alama, na matokeo yanatumika kuipa kipaumbele vitisho vilivyotambuliwa.
  3. PASTA (Process for Attack Simulation and Threat Analysis): Hii ni mbinu ya hatua saba, iliyolenga hatari. Inajumuisha kufafanua na kutambua malengo ya usalama, kuunda upeo wa kiufundi, uharibifu wa programu, uchambuzi wa vitisho, uchambuzi wa udhaifu, na tathmini ya hatari/triage.
  4. Trike: Hii ni mbinu inayotegemea hatari inayolenga kulinda mali. Inaanza kutoka mtazamo wa usimamizi wa hatari na inatazama vitisho na udhaifu katika muktadha huo.
  5. VAST (Visual, Agile, and Simple Threat modeling): Mbinu hii inalenga kuwa rahisi zaidi na kuunganishwa katika mazingira ya maendeleo ya Agile. Inachanganya vipengele kutoka mbinu nyingine na inazingatia uwakilishi wa kuona wa vitisho.
  6. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation): Iliyotengenezwa na Kituo cha Uratibu cha CERT, mfumo huu unalenga tathmini ya hatari ya shirika badala ya mifumo au programu maalum.

Tools

Kuna zana kadhaa na suluhisho za programu zinazopatikana ambazo zinaweza kusaidia katika uundaji na usimamizi wa mifano ya vitisho. Hapa kuna chache unazoweza kuzingatia.

SpiderSuite

Zana ya kisasa ya GUI ya wavuti ya kuvuka jukwaa na vipengele vingi kwa wataalamu wa usalama wa mtandao. Spider Suite inaweza kutumika kwa ramani na uchambuzi wa uso wa shambulio.

Usage

  1. Chagua URL na Crawl
  1. Tazama Mchoro

OWASP Threat Dragon

Mradi wa chanzo wazi kutoka OWASP, Threat Dragon ni programu ya wavuti na desktop ambayo inajumuisha uchoraji wa mifumo pamoja na injini ya sheria za kuunda vitisho/mipango kiotomatiki.

Usage

  1. Unda Mradi Mpya

Wakati mwingine inaweza kuonekana kama hii:

  1. Anzisha Mradi Mpya
  1. Hifadhi Mradi Mpya
  1. Unda mfano wako

Unaweza kutumia zana kama SpiderSuite Crawler kukupa msukumo, mfano wa msingi unaweza kuonekana kama hii

Tu kidogo ya maelezo kuhusu viumbe:

  • Mchakato (Kiumbe chenyewe kama vile Webserver au kazi za wavuti)
  • Mchezaji (Mtu kama vile Mtembezi wa Tovuti, Mtumiaji au Msimamizi)
  • Mstari wa Mtiririko wa Data (Kiashiria cha Maingiliano)
  • Mpaka wa Kuamini (Sehemu tofauti za mtandao au upeo.)
  • Hifadhi (Mambo ambapo data zinawekwa kama vile Mifumo ya Takwimu)
  1. Unda Tishio (Hatua ya 1)

Kwanza unapaswa kuchagua safu unayotaka kuongeza tishio

Sasa unaweza kuunda tishio

Kumbuka kwamba kuna tofauti kati ya Vitisho vya Mchezaji na Vitisho vya Mchakato. Ikiwa ungeongeza tishio kwa Mchezaji basi utaweza kuchagua tu "Spoofing" na "Repudiation". Hata hivyo katika mfano wetu tunaongeza tishio kwa kiumbe cha Mchakato hivyo tutaona hii katika kisanduku cha uundaji wa tishio:

  1. Imekamilika

Sasa mfano wako wa kumaliza unapaswa kuonekana kama hii. Na hivi ndivyo unavyofanya mfano rahisi wa tishio na OWASP Threat Dragon.

Microsoft Threat Modeling Tool

Hii ni zana ya bure kutoka Microsoft inayosaidia katika kutafuta vitisho katika hatua ya kubuni ya miradi ya programu. Inatumia mbinu ya STRIDE na inafaa hasa kwa wale wanaoendeleza kwenye stack ya Microsoft.