Geçen ay bir Cuma akşamı, üç güvenlik uzmanı kart oynamak ve tehdit modellemenin geleceği hakkında konuşmak için çevrimiçi olarak bir araya geldi. Oynadıkları oyunlar, OWASP Bereket ve Ayrıcalığın Yükseltilmesi (EoP), geliştiricilere, mimarlara ve güvenlik uzmanlarına potansiyel riskleri inceleme ve bunları önem derecesine göre sıralama konusunda yardımcı olmayı amaçlamaktadır.
Pandemi vurduğundan ve ekipler uzaktan çalışmaya başladığından beri kuruluşların tehdit modellerini belirlemelerine yardımcı olmak zorlaştı. Güvenliği tartışmak için yapılan çevrimiçi toplantılar, diyelim ki yeterince etkili değildi ve eğlenceli değildi. Toby Irvine ve Grant Ongers, Güvenli Teslimatın kurucuları. Bunu ele almak için OWASP Cornucopia’nın çevrimiçi bir sürümünü bir araya getirdiler ve önde gelen uzmanı davet ettiler. Adam Shostack bir oyun için onlara katılmak için. Shostack, 2010 yılında Microsoft’tayken Elevation of Privilege’i yarattı ve ekiplerin potansiyel güvenlik risklerini belirlemesine yardımcı olmak için kullandı.
Shostack, “Güvenliği herkese nasıl genişleteceğimize dair bir sorunumuz vardı” diyor. “Ve aldığım ilk cevap bir yazılım aracıydı. Ve yazılım aracı, dürüst olmak gerekirse, sıkıcıydı. Uzun lafın kısası, sordum: Sıkıcıdan kasıt nedir? Eğlenceli. Peki eğlenceli nedir? Oyunlar. Haydi yapalım. bir oyun.”
Ongers, hem Cornucopia hem de Elevation of Privilege, geliştiricilere “sorun hakkında düşünmek için doğru bağlam, doğru araçlar ve doğru alan” sağlıyor ve bu da tehdit modellemeyi “gerçekleşme olasılığını çok daha yüksek” hale getiriyor.
Irvine de aynı fikirde: “Birbirimize sadece otomatlar gibi davranamayız.”
Oyuncular hazır – oyun ve tehdit modelleme konusundaki felsefi tartışma başlayabilir.
Kartları Masaya Koymak
Bir fare tuşuna tıklandığında Irvine, Cornucopia’nın çevrimiçi versiyonu, ki bu hala beta aşamasındadır. Bağlantıyı Ongers ve Shostack’in erişmesi için video görüşmesinin içine koyar. Destede altı tür kart bulunur: Veri doğrulama ve kodlama, Kimlik Doğrulama, Oturum yönetimi, Yetkilendirme, Şifreleme ve Cornucopia — başka hiçbir yere sığmayan tüm kartları barındırmak için oluşturulmuş bir kategori. Pokere benzer şekilde, her takımda 13 kart (As, 2-10, Vale, Kız ve Kral) vardır ve ayrıca iki Joker vardır: Alice ve Bob.
Ongers, “A Joker, Alice, tamamen saldırganların sisteminizi kullanıcılarınıza saldırmak için nasıl kötüye kullanabileceği ile ilgili” diyor. “Ve B Joker, Bob, tamamen düzenleyici konularla ilgili. GDPR, şimdi bunu daha kolay bir saldırı haline getiriyor.”
O Cuma akşamı, tehdit modelleme alıştırması, Cornucopia Irvine’in inşa ettiği çevrimiçi versiyonunda dürttü, bu yüzden ilk kartı oynamasına izin verildi. Oturum Yönetiminin 6’sını seçti: “Gary bir kullanıcının oturumunu devralabilir çünkü uzun bir hareketsizlik zaman aşımı süresi vardır veya hiç yoktur veya uzun bir genel oturum süresi sınırı yoktur veya hiç yoktur ya da aynı oturum birden fazla cihazdan/konumdan kullanılabilir. “
Ongers, Oturum Yönetiminin 8’i ile devam eder: “Uygulama ayrıcalıkların değişip değişmediğini kontrol etmek için periyodik yeniden kimlik doğrulama gerektirmediğinden Matt uzun oturumları kötüye kullanabilir.”
Son olarak, Shostack aynı takımın 5’ini seçer ve şöyle yazar: “John, oturum tanımlayıcılarını tahmin edebilir veya tahmin edebilir, çünkü bunlar kullanıcının rolü değiştiğinde (örneğin kimlik doğrulama öncesi ve sonrası) ve şifrelenmemiş ve şifreli iletişimler arasında geçiş yaparken değişmezler. , ya da yeterince uzun ve rastgele değil ya da periyodik olarak değiştirilmiyor.”
Biri her kart oynadığında, güvenlik gereksinimlerini okumalı ve bununla ilgili notlar almalıdır. Sonunda, herkes turun en iyi kartına oy verir ve kazanan bir puan alır.
“İnsanları eğitirken her zaman ortaya çıkan ilginç şeylerden biri şudur: Bunu neden yapıyoruz?” Shostack diyor. Cevaplardan biri, geliştiricilerin ve mimarların genellikle farkında olmadan sürekli kararlar vermesidir. “Hedeflerden biri, bu geliştiricilerin az önce yaptıkları seçimi yaptıklarını bilmeleri. Hey, Matt bunu yapabilir. Ve Gary bunu yapabilir. Bu konuda gerçekten uygun muyuz?”
Ongers şunları ekliyor: “Tehdit modellemesine, şeyi inşa edecek olan insanların bakış açısından yaklaşıyoruz. [They] bu şeyin nasıl yanlış gidebileceğini düşünmeli. Tehdit modelleme, uygulamaların nasıl birbirine uyduğunu, verilerin uygulamalar arasında nasıl aktığını anlamaktır.”
Shostack, Oturum Yönetiminin 5’i olan kartını savunuyor ve saldırgan John’un oturum tanımlayıcılarını tahmin edip oyun oturumuna anonim olarak bağlanabilmesinin ne kadar kötü olacağını açıklıyor. Bunu önlemek için daha fazla güvenlik uygulamayı önerir. “Belki de girmeden önce hesaplarıma giriş yapmış olmam gerekirdi” diyor. “Bir puan alır mıyım?”
Sorun ciddi bir endişe kaynağı, bu nedenle Irvine ve Ongers buna oy veriyor ve Shostack fikrini alıyor.
Irvine, “Şu anda etraftaki en yüksek kartı oynuyor” diyor. “Adam yanıyor!”
Elini Göstermek
Shostack, Cornucopia ve Elevation of Privilege gibi kart oyunlarının teknoloji profesyonellerinin sağlıklı bir şekilde tehdit modellemesi yapmasına izin verdiğini söylüyor. “İnsanların yanıldığı bir şey, bir saldırgan gibi düşünmeye çalışmak veya bunu teknikten ziyade zihniyetle ilgili yapmaya çalışmaktır” diye ekliyor. “Kartların tümü, çeşitli şekillerde, bunu akıllıca bir kenara atmak ve sizi sonuçlara ulaştırmak için tasarlanmıştır.”
Tehdit modellemenin “zor olduğundan daha korkutucu” olduğunu savunuyor. Sonuçta, karşıdan karşıya geçmekten alışverişe gitmeye kadar her insanın her zaman yaptığı bir şeydir. Eğer onu parçalara ayırırsak, aklımızda tutmamız gereken sadece dört basit soru olduğunu söylüyor ve bunlar da listede yer alıyor. tehdit modelleme manifestosu: “Ne üzerinde çalışıyoruz?”, “Ne yanlış gidebilir?”, “Bu konuda ne yapacağız?” ve “Yeterince iyi bir iş çıkardık mı?”
Shostack, deneyimlerinden bağımsız olarak herkesin tehdit modelleme toplantılarına katkıda bulunmasını istiyor. Bu nedenle, bu kart oyunlarının kuralları, insanları diğer insanların fikirlerini eleştirmekten caydıran bir kültürden gelenler de dahil olmak üzere, her oyuncuyu her turda oyuna girmeye zorlamak için özel olarak tasarlanmıştır.
Bununla birlikte, Cornucopia kurallarının hacklenmesine bazen izin verilir. “[The game] esnek olmak, her şeyi destekleyebilmek içindir” diyor Irvine. “İnsanlara oyun oynamaları için bu izni veriyoruz. Fikir, bu konuşmayı yönlendirmek. Ve takımda kuralı sergileyen bir kişiden daha iyi bir şey yok.”
Bunun gibi çevrimiçi tehdit modelleme oturumları yakında daha popüler hale gelebilir. Gelecek yıl, potansiyel güvenlik risklerini inceleme süreci dünyanın birçok yerinde zorunlu hale gelebilir: Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) kısa süre önce Kodun Satıcı veya Geliştirici Doğrulaması için Önerilen Asgari Standart, bu da tehdit modellemenin önemini vurguluyor. Shostack’a göre, bir hizmet veya ürünün geliştirilmesi sırasında tehdit modellemesinin birden çok kez yapılması gerektiğini söylüyor; bu, ABD hükümetiyle çalışan her kuruluş için norm haline gelmesi muhtemel bir öneri.
Yine de tehdit modelleme oyununun hem çevrimiçi hem de gerçek hayatta kazanılabileceğini söylüyor.
“Kazanmanın en iyi yolu aslında oynamak çünkü herkes kazanıyor” diye ekliyor. “Tek kaybeden hamle oynamamaktır.”
TEHDİT MODELLEME KARTLARI NASIL BAŞLADI?
Cornucopia’nın ilk fiziksel versiyonu 2012’nin sonunda Colin Watson tarafından oluşturuldu. Çevik geliştiricilere web uygulamaları için güvenlik gereksinimlerini nasıl tanımlayacaklarını öğreten bir eğitim yapması gerekiyordu. Watson, PowerPoint sunumlarından uzak durmak istedi ve Shostack’in birkaç yıl önce yarattığı kart oyunu Elevation of Privilege’i hatırladı.
EoP, tehdit modellemesi için STRIDE (Kimlik Sahtekarlığı, Verileri Kurcalama, Reddetme tehditleri, Bilgi ifşası, Hizmet Reddi ve ayrıcalıkların yükseltilmesi) metodolojisini takip eder, ancak Watson, OWASP Güvenli Kodlama Uygulamaları. Bu yüzden sıfırdan bir güverte inşa etti ve onu geliştiricilerin ilgi alanlarına göre uyarladı. Her kart bir saldırı türünü listeler ve oyuncuları ek kaynaklara yönlendirir.
Watson bir e-postada, “Cornucopia’yı ilk yarattığımda, insanların bu saldırıların bazılarının ne olduğunu bilmeyebileceğinden endişeliydim, ancak bu öğrenme deneyiminin bir parçası” dedi. “Analiz (oyun) sırasında bir şeyin ne anlama geldiğini sormak ve tartışmak zorunda kalırlarsa, oyuncuların katılımını teşvik etmeye yardımcı olduğunu buldum.”
İdeal olarak, Cornucopia 3 ila 6 kişi gerektirir, ancak birileri tek başına da oynayabilir. Yine de grup çok küçükse yeterli perspektif olmayabilir. Tehdit modelleme oturumları sırasında, geliştiriciler ve güvenlik uzmanları, tüm desteyi kullanabilir veya tartıştıkları konularla ilgili olmayanları çıkararak sadece birkaç takım seçebilir.