1 : без вмешательства в обычную деятельность

2 : без эмоциональной реакции принял новости спокойно

STRIDE Адаптивный спорт | Выравнивание игрового поля для всех

Новости

НАША МИССИЯ

Для обучения и расширения возможностей людей с особыми потребностями в спортивных и развлекательных программах, изменяющих их жизнь, для поддержания здорового, активного и веселого образа жизни.

НАШЕ ВИДЕНИЕ

Для создания сообщества с равными возможностями и доступом к занятиям спортом и отдыхом. Никто не должен оставаться без внимания из-за инвалидности! STRIDE считает, что можно убрать границы, осуществить мечты, повысить самооценку и расширить возможности молодежи с ограниченными возможностями посредством участия в спортивных и развлекательных мероприятиях.

НАЖМИТЕ ЗДЕСЬ, ЧТОБЫ СПОНСИРОВАТЬ СОБЫТИЕ !!!

2021 Great Race — посетите нашу фотогалерею!

Снежный фестиваль раненых воинов 2021 года имел большой успех в нашем новом, адаптированном для Covid формате.

Нажмите на видео ниже, чтобы просмотреть виртуальную церемонию приветствия.

Вот почему мы это делаем …

В этом году и в обозримом будущем наши спортсмены с особыми потребностями столкнутся с проблемами пандемии, которые создают беспрецедентную нагрузку на их физическое, умственное, эмоциональное и социальное благополучие. Более 12 500 молодых людей с ограниченными возможностями в школьных системах Столичного региона еще острее ощущают последствия разрушения — не только из-за своих особых потребностей, но и из-за нескольких несправедливых диспропорций, от которых они страдают:

• Около 1/3 детей с ограниченными возможностями в штате Нью-Йорк живут в бедности, и эти домохозяйства получают лишь около половины дохода их сверстников.
• Дети с особыми потребностями имеют значительно более высокий уровень ожирения, чем их «трудоспособные» одноклассники. Подавляющее большинство этих детей не получают достаточной физической активности для поддержания здоровья; когда они все же пытаются участвовать, у них высокий процент отсева.
• Около 1/4 этих детей не получат диплом об окончании средней школы, около 85% никогда не получат степени бакалавра, а во взрослом возрасте почти 2/3 будут безработными.

К счастью, ситуация далеко не непреодолимая.Многие из этих молодых людей имеют потенциал найти место в нашем обществе и экономике, где они могут быть продуктивными, здоровыми и процветать; им просто нужна небольшая дополнительная помощь, которая часто сводится к времени, ресурсам и опыту, которых не хватает сообществу в целом.

Вот как мы помогаем. STRIDE не только оказывает максимально возможное влияние на молодежь с ограниченными возможностями в столичном регионе за небольшую часть бюджетов крупных организаций, но и является национальным лидером, признанным отраслевым экспертом в области знаний и передового опыта.

За последние 35 лет я воочию убедился в эффективности 18 адаптивных спортивных и развлекательных программ STRIDE. Целое поколение детей с особыми потребностями научилось выходить за рамки своих физических недостатков и добиваться результатов, меняющих жизнь. Подчеркивая целостный подход, который приводит к новому образу жизни наших детей, мы улучшаем физическое, психическое, социальное и эмоциональное здоровье, помогая детям найти свое место и свой голос в жизни.

Covid-19 не только заставляет нашу обездоленную и малообеспеченную молодежь «адаптироваться» к новым временам и обстоятельствам; это также заставляет STRIDE адаптироваться на уровне и скорости, которых мы раньше не испытывали.Финансовая поддержка со стороны наших участников гарантирует, что мы сможем адаптироваться в 2021–2022 годах и продолжать двигаться вперед с инновационными и безопасными программами.

Помимо полного набора адаптивных зимних программ, включая новые виды деятельности, такие как ходьба на снегоступах, каякинг и подледная рыбалка, STRIDE продолжает развивать сотрудничество с местными педагогами и школьными системами. Мы работаем с юристом по образованию, чтобы убедить родителей, что занятия STRIDE засчитываются в качестве кредита PE для дистанционного обучения в мире Covid.Мы сотрудничаем с Speical Olympics над новыми программами в нашем Центре SHARE и рассматриваем новые программы на набережной в Беркшире; и лыжный спорт в Коннектикуте. Наше расширение и адаптация — все благодаря нашему большому сообществу сторонников.

Мы не смогли бы сделать то, что делаем, без каждого из вас! Надеемся на обновленный 2021 год!

Виртуальный программный ресурс: адаптируйтесь к ресурсам STRIDE — НАЖМИТЕ ЗДЕСЬ !!!

Детская обувь от Stride Rite

Что-то идет, и это лучший выбор детской обуви для любого приключения от Stride Rite.

лучшая детская обувь для растущих ног Сделайте шаг вперед и подготовьте своего малыша к работе с мамой, управлению песочницей или поездке на свидание. Наша полная коллекция обуви для маленьких девочек и мальчиков предлагает поддержку и стабильность, необходимые им на каждом этапе развития. Сохраняйте их удобными и уютными, чтобы они могли непрерывно играть, пока представляете их. к изумительному стилю с самого начала.

Ботинки для мальчиков для любимого бардака

Когда ноги вашего маленького парня портятся, правильная пара обуви поможет ему обезопасить себя.Грязевые лужи, игровые площадки и бетонные джунгли не идут ни в какое сравнение с созданной нашими детскими туфлями для мальчиков. длиться. Подберите обувь для мальчиков, которая идеально подходит для любого случая, в том числе:

• Стильные шлепанцы и сандалии для часов игр в теплую погоду
• Повседневные кроссовки, выдержавшие испытание временем, подходящие для школы и игр
• Слипоны, застежки-липучки и кожаные ботинки для мальчиков для особых случаев
• Ботинки до щиколотки, средней длины и горные ботинки для мальчиков с прочной конструкцией, чтобы не отставать от самых любопытных маленьких ножек

стильные туфли для девочек на любую модницу

Наша обувь для девочек такая же безопасная и долговечная, как и обувь для мальчиков, и имеет стильный дизайн, подходящий для любого сезона! Взгляните на блестящие балетки, красочные кроссовки, обязательные ботинки и летние сандалии из нашей полной коллекции лучшей детской обуви для девочек.Независимо от того, ищете ли вы классическую и удобную или стильную и повседневную обувь, наши туфли для девочек созданы так же великолепно, как и выглядят. Позвольте ей показать свою игривую индивидуальность с туфлями для девочек, украшенными металлическими вставками, яркими цветочными узорами, блестящими пайетками и ее любимыми персонажами.

впечатляющих технологий для больших и маленьких детей

У маленьких детских туфель есть большая работа — они должны быть прочными, крутыми и такими, чтобы поддерживать их растущие ступни.Независимо от того, на каком этапе находится ваш малыш, наши запатентованные технологии всегда разработан, чтобы подготовить их к каждому этапу детства. При поиске лучшей детской обуви обратите внимание на несколько технологий:

Soft Motion

Обувь, оснащенная технологией Soft Motion, предназначена для поддержки естественных движений растущих младенцев и малышей. Мягкая и легкая обувь Soft Motion имеет нескользящую подошву и гибкую резиновую подошву для превосходной защиты.Запатентованный Разнонаправленные канавки обеспечивают повышенную мобильность, а кровать для ног из пеноматериала с эффектом памяти обеспечивает комфорт вашего малыша в течение всего дня.

SRTech

Для малышей, которые готовы сделать свои следующие шаги, наша коллекция детской обуви SRTech подходит как для новичков, так и для опытных ходунков. Встроенные сенсорные модули предназначены для повышения гибкости и баланса при перемещении по новой местности, а также закругленные каблуки и края имитируют форму стопы, чтобы свести к минимуму спотыкание и падение.

детская обувь Made2Play

Жизнь может быть запутанной, но убирать ее не должно быть хлопот — по крайней мере, когда дело доходит до обуви вашего ребенка! Наши детские туфли Made2Play можно стирать в стиральной машине, что упрощает очистку. Долговечная защита пальцев ног от истирания конструкция и спортивный стиль делают эту обувь идеальным дополнением повседневного гардероба любого ребенка.

где найти лучшую детскую обувь

Детская обувь от Stride Rite включает в себя передовые технологии, которые защищают занятые ноги и выдерживают любую активность.Держите их на шаг впереди толпы с помощью лучшей детской обуви в новейших стилях для детей всех возрастов. С ножки вашего малыша постоянно растут, воспользуйтесь нашей удобной таблицей размеров и советами по размеру, чтобы сделать их безопасными и удобными. Проверять Ознакомьтесь с нашими часто задаваемыми вопросами, чтобы получить дополнительную информацию о растущих ногах вашего ребенка.

Выявление недостатков в конструкции системы безопасности с помощью подхода STRIDE

• 07.10.2019
• 27 минут на чтение

В этой статье

Моделирование угроз

Выявление недостатков в конструкции системы безопасности с помощью подхода STRIDE

Шон Эрнан и Скотт Ламберт, Томаш Оствальд и Адам Шостак

Содержание

Проектирование безопасного программного обеспечения
Моделирование угроз и диаграммы потоков данных STRIDE

Пример системы
Применение STRIDE к базе данных Fabrikam Analyzer
Анализ потоков данных и хранилищ данных
Процессы анализа
Устранение угроз
Выявление проявлений угроз

Независимо от того, создаете ли вы новую систему или обновляете существующую, вам нужно подумать о том, как злоумышленник может атаковать ее, а затем встроить соответствующие средства защиты на этапах проектирования и реализации системы.В Microsoft мы подходим к проектированию защищенных систем с помощью метода, называемого моделированием угроз — методического анализа проекта или архитектуры системы для обнаружения и исправления проблем безопасности на уровне разработки. Моделирование угроз — неотъемлемая часть жизненного цикла разработки безопасности.

Существует несколько подходов к моделированию угроз, и любой, кто говорит вам, что его метод является единственно правильным, ошибается. Не существует надежных способов измерения качества модели угроз, и даже термин «угроза» открыт для интерпретации.Конечно, такова природа зверя; даже в более зрелой области криптографии безопасность многих популярных алгоритмов не доказана. Но, хотя мы часто не можем доказать, что данный дизайн безопасен, мы можем учиться на своих ошибках и избегать их повторения. В этом суть моделирования угроз.

В этой статье мы представим систематический подход к моделированию угроз, разработанный в группе разработки безопасности и коммуникаций Microsoft. Как и остальная часть жизненного цикла разработки безопасности, моделирование угроз продолжает развиваться и применяться в новых контекстах.Когда вы создаете свои собственные процессы для разработки безопасного кода, этот подход может послужить вам хорошей базой.

Разработка безопасного программного обеспечения

Разработать хорошее программное обеспечение достаточно сложно, а безопасность усложняет задачу. Недостатки, встроенные в систему, могут встречаться или не встречаться при обычном использовании. Действительно, при обычном использовании некоторые недостатки не имеют особого значения. Но в контексте безопасности недостатки имеют значение, потому что злоумышленники могут вызвать сбои, создав очень специфические условия, необходимые для запуска уязвимости.То, что может произойти случайным образом только один из миллиарда, может быть отклонено как не имеющее отношения к делу. Но если этот недостаток имеет последствия для безопасности, вы можете поспорить, что злоумышленник воспользуется им.

Одна из проблем при разработке безопасного программного обеспечения заключается в том, что разные группы думают о безопасности по-разному. Разработчики программного обеспечения думают о безопасности в первую очередь с точки зрения качества кода, тогда как сетевые администраторы думают о брандмауэрах, реагировании на инциденты и управлении системой.Ученые могут думать о безопасности в основном в терминах классических принципов проектирования Зальцера и Шредера, моделей безопасности или других абстракций. Конечно, все это важно при построении безопасных систем. См. Рис. 1 для краткого обзора принципов проектирования Зальцера и Шредера. Но, возможно, самая большая проблема — это отсутствие критериев безопасности. Если мы хотим избежать сбоев безопасности, это означает, что мы должны иметь некоторое представление о том, как выглядит успех безопасности.

Рисунок 1 Принципы проектирования безопасности

К счастью, у нас есть некоторое представление о том, что такое безопасность. Это означает, что системы обладают такими свойствами, как конфиденциальность, целостность и доступность, что пользователи аутентифицированы и авторизованы правильно и что транзакции не подлежат отказу. Рисунок 2 объясняет каждое свойство. Вы хотите, чтобы ваши системы обладали всеми этими свойствами, но не существует API целостности или доступности.Что вы делаете?

Рисунок 2 Свойства безопасности

Моделирование угроз и STRIDE

Один из способов убедиться, что ваши приложения обладают этими свойствами, — использовать моделирование угроз с использованием STRIDE, аббревиатуры от Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service и Elevation of Privilege. Рисунок 3 отображает угрозы на свойства, которые защищают от них.

Рисунок 3 Угрозы и свойства безопасности

Чтобы следовать STRIDE, вы разбиваете свою систему на соответствующие компоненты, анализируете каждый компонент на уязвимость к угрозам и устраняете угрозы.Затем вы повторяете процесс до тех пор, пока не почувствуете себя комфортно с остальными угрозами. Если вы сделаете это — разбейте вашу систему на компоненты и уменьшите все угрозы для каждого компонента — вы можете утверждать, что система безопасна.

Дело в том, что мы не можем этого доказать. Мы пока не можем показать, что взаимодействия между компонентами, индивидуально невосприимчивыми к угрозе спуфинга, не подвержены угрозе спуфинга, когда они входят в систему. Фактически, часто угрозы материализуются только тогда, когда системы объединяются для создания более крупных систем.В большинстве этих случаев сам процесс объединения подсистем в более крупные системы влечет за собой нарушение исходных предположений, сделанных подсистемой. Если система никогда не была предназначена для использования в Интернете, например, когда вы открываете ее для доступа в Интернет, возникнут новые проблемы безопасности.

В любом случае верно то, что если какой-либо компонент системы подвержен угрозе спуфинга, вы не можете сказать, что все ваши пользователи прошли проверку подлинности должным образом.

Диаграммы потоков данных

Диаграммы потоков данных (DFD) обычно используются для графического представления системы, но вы можете использовать другое представление (например, диаграмму UML), если вы применяете один и тот же базовый метод: разложите систему на части и покажите, что каждая часть не подвержен актуальным угрозам.

используется стандартный набор символов, состоящий из четырех элементов: потоков данных, хранилищ данных, процессов и взаимодействующих элементов, а для моделирования угроз мы добавляем еще один — границы доверия. На рисунке 4 показаны символы. Потоки данных представляют собой данные, перемещающиеся по сетевым соединениям, именованным каналам, почтовым ящикам, каналам RPC и т. Д. Хранилища данных представляют собой файлы, базы данных, ключи реестра и т.п. Процессы — это вычисления или программы, выполняемые компьютером.

Рисунок 4 Символы DFD

Интеракторы — это конечные точки вашей системы: люди, веб-службы и серверы.Как правило, это поставщики и потребители данных, которые выходят за рамки вашей системы, но явно связаны с ней.

Границы доверия, пожалуй, самые субъективные из всех: они представляют собой границу между доверенными и ненадежными элементами. Доверие — это сложно. Вы можете доверить механику свою машину, дантисту — зубы, а своему банкиру — деньги, но вы, вероятно, не доверяете дантисту замену свечей зажигания.

Правильная установка DFD — ключ к правильной модели угроз.Уделите достаточно времени своей, убедившись, что представлены все части вашей системы. Вы отметили все файлы и ключи реестра, которых касается ваше приложение? Вы читаете данные из среды?

Каждый из элементов (процессы, хранилища данных, потоки данных и взаимодействующие элементы) имеет набор угроз, которым он подвержен, как вы видите на рис. 5 . Эта диаграмма вместе с вашим DFD дает вам основу для исследования того, как ваша система может выйти из строя. Вероятно, неплохо было бы разделить следственную работу между экспертами в предметной области и составить контрольные списки, чтобы убедиться, что вы не совершите одну и ту же ошибку дважды.Например, вы могли бы попросить вашу сетевую группу исследовать, как угрозы раскрытия информации применяются к вашему сетевому потоку данных. Они будут разбираться в соответствующих технологиях и хорошо подготовиться к исследованиям безопасности, относящимся к их части приложения.

Рисунок 5 Угрозы, влияющие на элементы

Пример системы

Допустим, вам нужна система для сбора файлов бухгалтерского учета от сотрудников отдела продаж, вычисления данных о продажах на сервере базы данных и создания еженедельных отчетов.Назовем систему базой данных анализатора Fabrikam. Цель довольно проста: получить файлы из набора систем и выполнить некоторый анализ файлов на централизованном сервере. Это бизнес-цель, заявленная заказчиком, но вам нужно превратить формулировку проблемы в спецификации и планы.

Существует множество очевидных потенциальных угроз для этой системы, и многие из них проистекают из неявных требований безопасности в формулировке проблемы. Сам по себе процесс сбора вызывает ряд вопросов.Сбор информации означает перемещение ее из одного места в другое. Как вы собираетесь обезопасить его при транспортировке?

Вы будете манипулировать бухгалтерскими файлами, которые по самой своей природе являются конфиденциальными и часто подпадают под требования законодательства. И вам нужно будет определить конкретную группу людей — продавцов. Как вы их узнаете? Постановка задачи подразумевает ряд требований безопасности:

• Данные должны быть защищены от непреднамеренного раскрытия при передаче и хранении.
• Торговый персонал должен быть аутентифицирован и авторизован.
• Приложение должно корректно реагировать на атаки, основанные на злонамеренных вводах, такие как SQL-инъекция и переполнение буфера.
• Сервер должен иметь возможность выполнять вычисления как минимум еженедельно.

Заказчики никогда не могут указывать это явно, поэтому разработчики должны найти требования безопасности, заложенные в формулировке проблемы.

Конечно, есть также множество менее очевидных требований безопасности, которые необходимо решить.Что произойдет, если файлы могут быть перезаписаны на сервере таким образом, чтобы продавец мог скрыть подозрительную продажу? Что произойдет, если один продавец может потребовать кредит за продажи другого?

А кто такие «мы»? Что, если Contoso Corporation сможет выдать себя за сервер Fabrikam для отдела продаж Fabrikam? Помните, что злоумышленник не обязан соблюдать ваш протокол или использовать ваши инструменты для доступа к вашим серверам; он будет тратить больше времени, чем вы можете себе представить, на поиски недостатков и вполне может иметь большое количество машин для выполнения сложных вычислений.

На этом этапе, если компонент представляет собой систему с низким уровнем риска или у вас есть большой опыт работы с аналогичными системами, вы можете решить, что разумно уйти и начать планировать меры по устранению угроз. И это нормально. Но что, если это компонент высокого риска? Как узнать то, чего не знаешь?

Если вы остановитесь на этом этапе, ваша модель угроз будет ограничена не только тем, что вы знаете, но и тем, что вы вспомните во время работы над ней. Вы должны думать не только как нападающий, но и как все нападающие.Одновременно.

Применение STRIDE к базе данных анализатора Fabrikam

Теперь давайте попробуем создать диаграмму потока данных из постановки задачи. Первоначальная попытка может выглядеть как Рисунок 6 . На стороне сервера есть два процесса, два хранилища данных и три потока данных. Между серверной и клиентской сторонами системы существует одна граница доверия с одним потоком данных, который пересекает границу доверия для каждого клиента. Для каждого клиента есть продавец, бухгалтерское приложение, бухгалтерские данные и процесс отправки.

Рисунок 6 ** Начальный DFD для базы данных анализатора **

Но это правильный DFD? Разве это DFD даст наиболее полную картину угроз? Некоторые простые эмпирические правила предполагают, что это, вероятно, не тот вариант. Для начала есть приемник данных. Данные поступают в базу данных анализа и никогда не читаются. Заказчик никогда ничего не упоминал о чтении данных явно, потому что это не было связано с рассматриваемой проблемой. Дизайнер может сказать что-то вроде «эта часть проблемы выходит за рамки.«Но с точки зрения безопасности это вообще не выходит за рамки возможностей. Так что вам нужно каким-то образом представлять читателя данных.

Вот несколько общих правил для понимания разумности вашего DFD. Во-первых, будьте осторожны с волшебными источниками или приемниками данных: данные создаются не на пустом месте. Убедитесь, что у вас есть пользователь, представленный как читатель или писатель для каждого хранилища данных. Во-вторых, остерегайтесь психокинеза как средства передачи данных. Другими словами, убедитесь, что всегда существует процесс, который читает и записывает данные.Он не идет напрямую из головы пользователя на диск и наоборот. В-третьих, объедините похожие элементы в пределах единой доверительной границы в единый элемент для целей моделирования. Если они реализованы в одной технологии и находятся в пределах одной и той же границы доверия, вы можете свернуть их. В-четвертых, будьте осторожны при моделировании деталей по обе стороны от границы доверия. Возникает искушение смоделировать вещи по обе стороны границы доверия одновременно. Хорошей практикой является наличие контекстного DFD и структурных диаграмм, которые показывают более подробную информацию.Наша система здесь действительно представляет клиентскую и серверную системы одновременно в единой модели. Но помните, что злоумышленник не обязан использовать ваши инструменты или соблюдать ваши протоколы.

Пересмотр схемы потока данных с учетом этих правил, DFD на рис. 7 , вероятно, лучше. Изменения здесь заметны. Мы объединили процессы сбора и анализа в один. Это не обязательно означает, что они будут реализованы вместе — суть в том, чтобы не потерять лес за деревьями.Думайте о «основной функции», а не о реализации.

Рисунок 7 ** Лучшее DFD **

Мы также представили клиентскую сторону не более чем как внешние взаимодействующие элементы, и это сильное изменение. Это отражает тот факт, что злоумышленник волен делать все, что пожелает. Следовательно, мы ограничили эту модель угроз только серверной стороной — полная модель угроз будет включать аналогичное представление клиентских систем, показывая сервер как не более чем набор внешних взаимодействующих устройств.Это само определение границы доверия — вы не доверяете тому, что находится на другой стороне.

Теперь мы можем представить все это в виде списков и таблиц и начать разбивать большую проблему на серию более мелких.

Анализ потоков данных и хранилищ данных

Давайте сначала посмотрим на потоки данных. Их три, как вы видели на рис. 6 . Каждый из этих потоков данных подвержен угрозам, перечисленным в Рисунок 3 . Посмотрим, насколько уязвим каждый процесс.

Поток данных 1: Продажи в коллекцию Если данные о продажах передаются в процесс сбора, возможно вмешательство. Другими словами, данные могут изменяться при передаче через Интернет, особенно если данные поступают с ноутбуков с различными настройками безопасности. Раскрытие информации — еще один риск. Данные в пути могут быть прочитаны теми, у кого нет доступа.

Процесс сбора также может стать жертвой атак типа «отказ в обслуживании»; злоумышленник может помешать доступу к серверу сбора для продавцов.(Если злоумышленник сделает это в последний день квартала, это может оказать существенное влияние на компанию.)

Поток данных 2: Список систем продаж для сбора Аналогичные угрозы существуют для сбора списков систем продаж. Кто-то может подделать данные, вставив новую систему в список продавцов, которая может позволить ввод ложных данных. Удаление системы может помешать продавцу регистрировать продажи. (Это можно смоделировать как отказ в обслуживании. Мы называем это вмешательством.Не зацикливайтесь на терминологии.)

Когда вы рассматриваете угрозы для этого потока данных, вам может прийти в голову, что система аутентификации для отдела продаж не была идентифицирована. Неадекватная система аутентификации может стать угрозой спуфинга для продавцов. Убедитесь, что угроза записана и устранена. Та же угроза возникнет и у вас, когда вы изучите угрозы спуфинга в отношении продавцов. Небольшая избыточность — это здорово.

Список продавцов, вероятно, интересен конкурентам Fabrikam.Инсайдерам также может быть интересно, если происходят увольнения, поэтому угроза информации значительна и требует решения. Не поддавайтесь самоуспокоенности, потому что вы не можете себе представить, зачем кому-то нужны ваши данные. Вы просто должны предположить, что кто-то это сделает.

В зависимости от размера Fabrikam и частоты смены отдела продаж отказ в обслуживании может не иметь большого значения. Это нормально (и даже разумно) проводить некоторый анализ рисков при рассмотрении угроз. Но помните, что чем дальше вы находитесь от своего клиента, тем сложнее понять, насколько клиент терпим к различным рискам.Не предполагайте слишком много о ситуации вашего клиента или терпимости к риску.

Поток данных 3: процесс анализа в хранилище анализа Здесь мы сталкиваемся с интересной ситуацией, связанной с подделкой. У нас есть поток данных, полностью содержащийся в границах доверия. В этой ситуации опытный теоретик безопасности может сказать, что совершенно не нужно беспокоиться о процессах, полностью находящихся в пределах границ доверия — в конце концов, вы им доверяете.

С другой стороны, опытный специалист по безопасности может ответить, что что угодно может дать сбой, и это ничем не отличается.Мы симпатизируем обеим точкам зрения и решим вопрос с точки зрения общей приоритетности. Поток данных 1 явно более открыт, чем поток данных 3, и усилия, которые вы тратите на изучение потока данных 1, должны отражать этот более высокий уровень воздействия. Но поток данных 3 не лишен риска.

Например, что, если база данных анализа хранится на другом компьютере? Представленная модель угроз предполагает, что процесс сбора данных размещается на том же компьютере, что и база данных, но, возможно, это не так.Возможно, разработчик модели сделал неверное предположение или решение еще не принято.

Если окажется, что база данных анализа хранится на удаленном компьютере, весьма вероятно, что поток данных 4 имеет профиль угрозы, аналогичный потоку данных 1. Наконец, даже если вы можете полагаться на границу доверия, не забывайте, что ситуации меняются. Глубокая защита может быть выгодным вложением.

Раскрытие информации и отказ в обслуживании также являются здесь угрозами. По сути, ситуация такая же, как и с угрозой взлома.Другими словами, правильно ли и надежно установлена ​​граница доверия? В противном случае эти угрозы необходимо учитывать.

Теперь посмотрим на хранилища данных.

Хранилище данных 1: База данных анализа Это хранилище данных уязвимо для подделки, особенно потому, что содержимое базы данных не было полностью указано. Это база данных продаж, которая включает выполнение заказов и бонусы продавцам? Это база данных прогнозов, которая позволяет делать прогнозы продаж? Различные типы данных привлекают разных злоумышленников.Обратите внимание, что злоумышленники могут быть инсайдерами, а не посторонними. Они могут иметь законный доступ к базе данных для выполнения своей работы.

Раскрытие информации — растущая проблема. Если Fabrikam принимает заказы от потребителей в кредит, в базе данных могут быть номера социального страхования или номера кредитных карт. Вероятно, в базе данных есть служебная информация, которую хотели бы видеть конкуренты. Если Fabrikam предоставляет товары для здоровья или медикаменты, на него могут распространяться ограничения конфиденциальности HIPAA.

Отказ в обслуживании также может быть угрозой. Кто и для чего использует эту базу данных? Пополнение базы данных — простая атака. Когда база данных заполнена, общие ответы — прекратить обслуживание новых запросов или перезаписать старые данные. Атаки отказа в обслуживании имеют наибольшее значение, когда они препятствуют достижению бизнес-целей.

Хранилище данных 2: список систем продаж Здесь под угрозой является несанкционированное вмешательство. Злоумышленники могут добавлять продавцов, которые могут причинить вред, или удалять продавцов, не позволяя им выполнять свою работу.Раскрытие информации и отказ в обслуживании также являются серьезными угрозами.

Хранилище данных 3: Ноутбуки Манипуляции с портативными компьютерами могут позволить злоумышленнику украсть данные или такие лакомые кусочки управления доступом, как пароли, ключи или сертификаты. Злоумышленник может установить шпионское ПО, чтобы получить постоянный доступ к системе. Это, вероятно, пересекает модели угроз в другие проекты, но если вы разрабатываете систему, которой невозможно разумно управлять, это может сделать ваших клиентов или пользователей менее безопасными. Вся информация о ноутбуке — честная игра, если злоумышленник контролирует его.Опять же, угрозы здесь, вероятно, связаны не только с этой частью модели угроз.

Анализ процессов

Процесс, который притворяется процессом сбора (спуфинг), может собирать все данные, которые отдел продаж пытается отправить. Это приводит к раскрытию информации и отказу в обслуживании. Существует множество угроз, реализация которых может привести к возникновению других угроз. Если вы можете притвориться администратором, например (спуфинг), вы можете выключить систему (угроза отказа в обслуживании).Кроме того, если злоумышленник подделывает данные здесь и повреждает или читает память, он может вызвать отказ, обслуживание или повышение привилегий. Однако не слишком увлекайтесь попытками отследить все последующие последствия.

Отказ, которому уязвим процесс сбора, — это ложь. Угроза отказа от авторства — это когда вы можете предпринять действие и убедительно отрицать его. В этом случае угрозы отказа могут включать, например, отправку исправленных данных о продажах, которые перезаписывают существующие данные, и возможность заявить, что вы этого не делали.

Угрозы раскрытия информации для процесса могут быть сложными — вы обычно думаете об этих угрозах как о влияющих на потоки данных и хранилища данных. Но процесс хранит в памяти много ценных данных. Если злоумышленник может читать из памяти процесса, ему, возможно, не придется взламывать базу данных.

Точно так же, если злоумышленник узнает что-то о внутренней структуре программы, это может помочь ему провести другие типы атак. Атака с раскрытием информации, которая позволяет злоумышленнику обнаружить адрес в памяти определенных переменных (например), может стать очень ценным этапом в процессе атаки.

Здесь также возможны как отказ в обслуживании, так и повышение привилегий. Инсайдеры и конкуренты могут быть заинтересованы в том, чтобы помешать обычному сбору данных, и это можно сделать разными способами. Например, злоумышленник, который может заставить процесс сбора данных запускать написанный им код, может подделать, подделать или отказать в обслуживании. Процесс сбора, вероятно, доступен в Интернете, и правильный безопасный код будет очень важен.

Вы можете продолжать анализ такого рода для каждой из угроз и каждого элемента в DFD, пока не сможете сказать, что вы устранили вмешательство, раскрытие информации и отказ в обслуживании для всех потоков данных и хранилищ данных; каждая из шести угроз STRIDE против всех процессов; угрозы спуфинга и отказа для всех взаимодействующих лиц; и уникальные угрозы, влияющие на границы вашего доверия.Ничто из этого не гарантирует безопасность системы, но, безусловно, поможет вам лучше спать по ночам.

Устранение угроз

Идеальная ситуация — уменьшить угрозу с помощью надежного, хорошо понятного решения. Например, правильное использование сильной криптографии считается сильным противодействием многим типам угроз раскрытия информации. Возможно, вам никогда не удастся доказать, что защита идеальна. Тем не менее, одна из приятных особенностей модели STRIDE заключается в том, что она дает вам представление о природе необходимых вам смягчений.Простая переработка Рис. 3 с точки зрения доступных технологий дает вам представление о том, какие меры по снижению рисков необходимы. Однако выбор технологии может оказаться сложной задачей. В общем, я обнаружил, что два простых вопроса могут быть полезны: можно ли использовать технологию для уменьшения угрозы и действительно ли она будет использоваться в сценарии, который вас интересует?

Обнаружение проявлений угроз

Теперь, когда вы разбили большую проблему на более мелкие, как вы решите эти более мелкие проблемы? Тебе нужно провести небольшое исследование.Вы хотите найти предыдущие режимы отказа для технологий, которые вы будете использовать. Если поток данных, например, будет использовать удаленный вызов процедур (RPC) через TCP, вам необходимо найти не только общие классы сбоев в потоке данных, но также конкретные известные сбои для TCP и RPC.

Отличный подход к изучению того, как проявляются угрозы, — это использование главы 22 документа «Жизненный цикл разработки безопасности » Майкла Ховарда и Стива Липнера (Microsoft Press®, 2006), в котором деревья угроз разрабатываются для угроз STRIDE по каждому из четырех стандартов. Элементы DFD.Например, одно дерево угроз исследует, как вмешательство может проявиться в потоке данных в общем смысле. Деревья представлены таким образом, что листовые узлы деревьев предполагают атаки, которые реализуют угрозу. Идея состоит в том, чтобы использовать листовые узлы деревьев угроз в качестве наводящих вопросов — своего рода усиление мозгового штурма, который вы провели ранее.

Так, например, предположим, что существует угроза несанкционированного доступа к потоку данных «Продажи для сбора». Если посмотреть на список вопросов из The Security Development Lifecycle , первый вопрос, связанный с вмешательством в поток данных, следующий: защищен ли поток данных (хеширован, MAC-адрес или подписан) с помощью средств защиты от повторного воспроизведения, таких как метки времени или счетчики?

Это предполагает простую атаку — воспроизведение действительных сообщений — которая до сих пор игнорировалась в ходе всего обсуждения! Дело не в том, что это нападение было новым или ранее неизвестным.Просто это не было очевидным в формулировке проблемы, и даже опытные специалисты по безопасности могли бы легко не заметить эту атаку.

Влияние атаки в этом сценарии таково: что, если продавец может дважды отправить набор данных о продажах? Представьте, что Вишал и Эрик соревнуются за поездку на Гавайи. У Эрика может возникнуть соблазн дважды отправить набор данных, чтобы его показатели продаж выглядели действительно хорошо и выиграли поездку.

Вы можете подумать, что система бухгалтерского учета уловит это, потому что, в конце концов, это часть цели системы бухгалтерского учета.Но откуда ты знаешь? В конце концов, это всего лишь система отчетности, и, возможно, данные, полученные с помощью этой системы, никогда не проверяются дважды с официальными данными бухгалтерского учета.

Может быть, атака как-то смягчена, а может и нет. Но понимание того, возможна ли атака, и обнаружение атак, о которых раньше не думали, являются частью основной цели моделирования угроз.

Учитывая эту недавно обнаруженную угрозу, теперь перед вами стоит новая задача: понять, уменьшена ли угроза.В конце концов, вероятным результатом такого расследования было бы то, что файлы однозначно идентифицируются случайным числом. Теперь вам нужно принять бизнес-решение: комфортно ли вам рисковать или вам нужно более надежное решение?

Использование предварительно созданных деревьев угроз доказало свою эффективность в ряде ситуаций в Microsoft, чтобы гарантировать, что известные атаки не будут упущены из виду. И по мере обнаружения новых атак сами деревья угроз могут быть дополнены этими новыми угрозами.Таким образом, деревья угроз могут формировать своего рода институциональные знания. Однако помните, что они носят очень общий характер. Есть целые классы атак, которые применяются к одной технологии, а не к другой.

В случае потока данных, например, как вы можете узнать, что свойства безопасности TCP отличаются от свойств безопасности протокола пользовательских данных (UDP), и что такие факторы, как начальный порядковый номер и размер окна, играют роль в безопасности вашего сетевого подключения? Если вы знакомы с сетевой безопасностью, вы можете столкнуться с этими проблемами; в противном случае вы можете пропустить эти проблемы при разработке решения.Вот тут-то и проявляются паттерны атак.

Шаблоны атак

Шаблоны атак — это проявление одной или нескольких угроз в контексте определенной технологии. Например, операция strcpy в C может позволить злоумышленнику, вводящему длинные строки данных, повредить память целевой программы, позволяя ему выполнить код по своему выбору. Вот как переполнение буфера может представлять угрозу повышения привилегий. Конечно, злоумышленник может использовать переполнение буфера и для других целей — например, для изменения данных о зарплате.Иногда люди говорят о моделях атак в более формальных терминах, выражая их как набор предусловий и постусловий. Но для наших целей здесь это конкретные вещи, которые могут позволить злоумышленнику реализовать угрозу.

Вы можете быть знакомы или не знакомы с этими видами атак, но на самом деле существует гораздо больше типов атак, которые влияют на определенные технологии в определенных контекстах, и с этим мало что можно сделать. Вы должны быть знакомы с атаками, которые влияют на вашу технологию, и создать соответствующую защиту.

Заключение

Разработка безопасного программного обеспечения может быть сложной задачей, но, как и в случае с любой другой проблемой, хорошая стратегия состоит в том, чтобы разбить проблему на более мелкие части, которые легче решить. Мы считаем, что для деятельности с высоким риском полезно иметь организованную структуру для этого, и использование модели STRIDE с моделированием угроз является одним из таких подходов. Мы использовали эту модель в ряде команд в Microsoft, и результаты были многообещающими — почти в каждом случае мы обнаруживали проблему дизайна, которая могла остаться незамеченной гораздо позже.Как только вы привыкните к применению модели STRIDE, это часто сводится к правильному построению DFD, мозговым штурмам и просмотру известных контрольных списков. Это может пройти довольно быстро.

Поскольку вы стремитесь разрабатывать безопасное программное обеспечение, мы рекомендуем моделирование угроз в качестве ключевой части вашего процесса, особенно модель STRIDE, представленную в этой статье. Но ключевой момент — найти метод, который работает для вас, применить его на ранних этапах разработки, иметь в виду, что любой компонент может выйти из строя, и провести необходимое исследование, чтобы убедиться, что вы учли известные шаблоны атак.

Наконец, проектирование — это лишь часть построения безопасного программного обеспечения. Исполнительная поддержка, внедрение, тестирование, создание и поставка, а также обслуживание и поддержка — все это играет решающую роль в обеспечении максимальной безопасности ваших систем. Вы должны все понять.

Куда обратиться за техническими подробностями

Для прекрасного обзора многих распространенных типов атак мы предлагаем Написание безопасного кода, второе издание, Майкла Ховарда и Дэвида Леблана (Microsoft Press, 2002).Более подробные технические тексты см .:

• Защита веб-служб с помощью WS-Security , Джоти Розенберг и Дэвид Реми (SAMS, 2004).
• Безопасность SQL Server , автор Чип Эндрюс (Осборн МакГроу-Хилл, 2003).
• Безопасное кодирование на C и C ++ , Роберт Сикорд (Аддисон Уэсли, 2005).
• Создание безопасных приложений Microsoft ASP.NET (Microsoft Press, 2006).
• Безопасность для Microsoft Visual Basic.NET , авторы Эд Робинсон и Майкл Джеймс Бонд (Microsoft Press, 2003).
• Руководство по уязвимостям программного обеспечения , Герберт Х. Томпсон и Скотт Г. Чейз (Charles River Media, 2005)

Наконец, для получения списка общих дефектов, связанных с безопасностью, одним из новых ресурсов является проект Mitre Common Weakness Enumeration (CWE).

Если вы часто работаете с какими-либо технологиями, вероятно, неплохо было бы включить общие недостатки этих технологий в свои собственные деревья угроз или контрольные списки.И, конечно же, вам следует ознакомиться с текущими и прошлыми рекомендациями по безопасности от вашей собственной организации, а также от других организаций, которые внедрили аналогичные технологии. Microsoft делает бюллетени по безопасности доступными по адресу microsoft.com/security. Известные третьи стороны включают:

Если вы добавляете новую функцию, которая, возможно, уже есть у ваших конкурентов, исследуйте их ошибки безопасности, а также их успехи. Многие поставщики и третьи стороны предоставляют бюллетени по безопасности в свободный доступ.

Шон Эрнан — менеджер программы безопасности в Microsoft, в настоящее время работает над обучением, чтобы помочь реализовать концепцию создания безопасного программного обеспечения, безопасного по умолчанию и безопасного при развертывании.До прихода в Microsoft он был руководителем группы по уязвимостям в Координационном центре CERT в Университете Карнеги-Меллона.

Скотт Ламберт — менеджер программы безопасности в группе Secure Windows Initiative (SWI) в Microsoft. Он владеет улучшенными инструментами внутренней безопасности, включая различные инструменты фаззинга. Используя свой отраслевой опыт, Ламберт работает над тем, чтобы инструменты SWI выявляли подавляющее большинство классов уязвимостей.

Томаш Оствальд в настоящее время работает менеджером программы безопасности в группе Security Windows Initiative, где он проводит заключительные проверки безопасности продуктов, выпущенных Microsoft.

Адам Шостак — руководитель программы в группе разработки безопасности (SDL) в Microsoft. Ему принадлежит компонент моделирования угроз SDL.

STRIDE в Steam

Об этой игре

STRIDE — это высокооктановое паркур-приключение в виртуальной реальности. Сражайтесь за свою жизнь, пробиваясь сквозь навес футуристического мегаполиса. Попробуйте себя в роли мастера-фрираннера, прыгая, раскачиваясь, катаясь и стреляя в этом напряженном, насыщенном событиями приключении.Выживете ли вы в окончательном фриране?

Испытайте суету паркура