Cyber Monday — STRIDE framework

PrzezIreneusz Sas

W ramach #CyberMonday kontynuujemy temat modelowania zagrożeń i na warsztat bierzemy framework STRIDE. Jest to metodologia opracowana przez firmę Microsoft, która pomaga identyfikować i kategoryzować potencjalne zagrożenia bezpieczeństwa podczas tworzenia oprogramowania i projektowania systemów.

Framework STRIDE pomaga zespołom ds. bezpieczeństwa w ciągłym identyfikowaniu potencjalnych zagrożeń na różnych etapach projektowania, tworzenia i wdrażania systemów. Dzięki temu możliwe jest lepsze zabezpieczenie infrastruktury przed atakami oraz minimalizacja ryzyka utraty danych.

Co kryje się pod nazwą STRIDE?

Framework STRIDE – opracowanie własne – Canva

STRIDE to skrót od sześciu kategorii zagrożeń:

Spoofing (Podszywanie się) – ataki, w których napastnik udaje kogoś innego, np. poprzez fałszywe logowanie.

Wpływ: uwierzytelnianie.

Przykład: Napastnik wysyła pracownikowi e-mail, który wygląda jak wiadomość od zaufanego źródła (np. od działu IT). W e-mailu znajduje się link prowadzący do fałszywej strony logowania, gdzie pracownik wprowadza swoje dane uwierzytelniające. W ten sposób napastnik zdobywa dane logowania i uzyskuje dostęp do systemu, podszywając się pod uprawnionego użytkownika. To może prowadzić do kradzieży danych, przejęcia konta i nieautoryzowanego dostępu do zasobów firmy.

Tampering (Manipulacja danymi) – modyfikacja danych przez nieautoryzowane osoby.

Wpływ: integralność.

Przykład: Atakujący uzyskuje dostęp do bazy danych firmy i zmienia zapisane tam informacje, takie jak wyniki finansowe, dane kontaktowe klientów i salda kont. Może to prowadzić do fałszywych raportów finansowych, błędnych decyzji biznesowych i utraty zaufania klientów. Manipulacja danymi może być trudna do wykrycia, a jej skutki mogą być długotrwałe i kosztowne.

Repudiation (Wyparcie się działań) – brak dowodów na działanie, co umożliwia napastnikowi zaprzeczenie, że coś zrobił.

Wpływ: niezaprzeczalność.

Przykład: Brak logów systemowych lub odpowiednich zapisów umożliwia napastnikowi zaprzeczenie, że wykonał określone działania, takie jak nieautoryzowane zmiany w systemie lub usunięcie ważnych plików. To może utrudniać śledztwo i przypisanie odpowiedzialności za incydenty bezpieczeństwa, co z kolei komplikuje procesy prawne i audyty.

Information Disclosure (Ujawnienie informacji) – nieautoryzowane ujawnienie poufnych danych.

Wpływ: poufność.

Przykład: Atakujący uzyskuje dostęp do serwera, na którym przechowywane są dane osobowe klientów, takie jak imiona, nazwiska, adresy, numery telefonów i numery kart kredytowych. Taki wyciek danych może prowadzić do kradzieży tożsamości, oszustw finansowych i poważnych strat reputacyjnych dla firmy. Konsekwencje mogą obejmować także sankcje prawne i finansowe wynikające z naruszenia przepisów o ochronie danych.

Denial of Service (Odmowa usługi) – ataki mające na celu uniemożliwienie dostępu do usług.

Wpływ: dostępność.

Przykład: Napastnik przeprowadza atak typu DDoS (Distributed Denial of Service), wysyłając ogromną ilość żądań do serwera, co prowadzi do przeciążenia i niedostępności strony internetowej lub usługi online. Może to skutkować utratą przychodów, niezadowoleniem klientów i uszkodzeniem reputacji firmy, zwłaszcza jeśli atak trwa przez dłuższy czas lub dotyczy kluczowych usług.

Elevation of Privilege (Podniesienie uprawnień) – uzyskanie przez napastnika wyższych uprawnień niż powinien mieć.

Wpływ: autoryzacja.

Przykład: Zwykły użytkownik systemu wykorzystuje lukę w zabezpieczeniach, aby zdobyć uprawnienia administratora. Zyskując wyższe uprawnienia, napastnik może instalować złośliwe oprogramowanie, usuwać lub modyfikować dane oraz przejmować kontrolę nad systemem. Takie działania mogą prowadzić do poważnych naruszeń bezpieczeństwa i trudnych do naprawienia szkód.

Jak zastosować STRIDE w praktyce?

Analiza zagrożeń — przeprowadzenie szczegółowej analizy w celu zidentyfikowania potencjalnych zagrożeń z każdej kategorii STRIDE. Na przykład, podczas przeglądu architektury systemu, zidentyfikuj, które komponenty mogą być podatne na spoofing.

Modelowanie zagrożeń — tworzenie modeli, które wizualizują możliwe wektory ataku i luki bezpieczeństwa. Użycie diagramów przepływu danych (DFD) do przedstawienia, jak dane przepływają przez system i gdzie mogą wystąpić zagrożenia.

Ocena ryzyka — ocenianie prawdopodobieństwa i wpływu zidentyfikowanych zagrożeń. Ustalanie priorytetów, które zagrożenia wymagają natychmiastowej uwagi, a które mogą być monitorowane.

Implementacja zabezpieczeń — wdrażanie odpowiednich mechanizmów zabezpieczających, takich jak uwierzytelnianie wieloskładnikowe, szyfrowanie danych czy monitoring systemów. Na przykład, wprowadzenie szyfrowania end-to-end w celu ochrony danych przed ujawnieniem.

Ciągła weryfikacja — regularne testowanie i aktualizacja zabezpieczeń w celu utrzymania wysokiego poziomu bezpieczeństwa. Przeprowadzanie regularnych testów penetracyjnych i audytów bezpieczeństwa.

Studia przypadków

Podszywanie się (Spoofing)

W organizacji X atakujący uzyskał dostęp do ważnego systemu, wykorzystując nieuwagę pracownika i uzyskując wysokie uprawnienia. Wysłał pracownikowi e-mail, który wyglądał jak wiadomość od zaufanego źródła (np. od wewnętrznego działu IT). W e-mailu znajdował się link prowadzący do fałszywej strony logowania, na której pracownik wprowadził swoje dane uwierzytelniające. W ten sposób napastnik zdobył dostęp do konta z wysokimi uprawnieniami.

Rozwiązanie:

  • Uwierzytelnianie wieloskładnikowe (MFA) – wymaga od użytkowników podania więcej niż jednego sposobu potwierdzenia swojej tożsamości podczas logowania. Przykłady to hasło plus kod wysłany na telefon lub użycie aplikacji uwierzytelniającej. Wprowadzenie MFA znacząco utrudnia napastnikom przejęcie konta, nawet jeśli zdobędą hasło.
  • Edukacja pracowników — przeprowadzenie regularnych szkoleń na temat zagrożeń związanych z phishingiem oraz jak rozpoznawać podejrzane e-maile i linki. To pomaga pracownikom unikać pułapek zastawionych przez cyberprzestępców.

Manipulacja danymi (Tampering)

Firma z branży finansowej doświadczyła manipulacji danymi w swojej bazie danych kontrahentów. Atakujący uzyskał nieautoryzowany dostęp do bazy danych i zmodyfikował kluczowe informacje, takie jak dane kontaktowe i salda kont, co mogło prowadzić do poważnych strat finansowych i utraty zaufania klientów.

Rozwiązanie:

  • Monitoring i systemy wykrywania intruzów (IDS) – wdrożenie systemów IDS pozwala na monitorowanie ruchu sieciowego i wykrywanie podejrzanych działań, które mogą wskazywać na próbę manipulacji danymi. Systemy te generują alerty, gdy wykryją nieautoryzowane działania, co pozwala zespołowi bezpieczeństwa szybko zareagować i zapobiec dalszym manipulacjom.
  • Regularne audyty — przeprowadzanie regularnych audytów bezpieczeństwa i przeglądów logów systemowych pomaga w wykrywaniu nieautoryzowanych zmian i utrzymaniu integralności danych.

Ujawnienie informacji (Information Disclosure)

Firma doświadczyła wycieku danych osobowych swoich klientów. Atakujący uzyskał dostęp do serwera przechowującego dane, takie jak imiona, nazwiska, adresy, numery telefonów i numery kart kredytowych. Wyciek tych danych mógł prowadzić do poważnych konsekwencji, takich jak kradzież tożsamości i straty finansowe klientów.

Rozwiązanie:

  • Szyfrowanie danych w spoczynku – wprowadzenie szyfrowania danych przechowywanych na serwerach (tzw. danych w spoczynku) zapewnia, że nawet jeśli napastnik uzyska fizyczny dostęp do serwera lub przełamie zabezpieczenia sieciowe, dane pozostaną nieczytelne bez odpowiednich kluczy deszyfrujących.
  • Szyfrowanie danych podczas przesyłania — szyfrowanie danych przesyłanych między serwerami, aplikacjami i użytkownikami (np. za pomocą protokołu HTTPS) chroni informacje przed przechwyceniem i odczytaniem podczas ich przesyłania przez sieć.
  • Zarządzanie dostępem — wprowadzenie rygorystycznych zasad zarządzania dostępem, takich jak minimalizacja dostępu do danych do osób, które rzeczywiście tego potrzebują, oraz regularne przeglądy uprawnień użytkowników.

Podsumowanie

Framework STRIDE to potężne narzędzie w arsenale każdego specjalisty ds. bezpieczeństwa. Jego zastosowanie pozwala na skuteczne wykrywanie i neutralizowanie zagrożeń, co jest kluczowe w utrzymaniu bezpieczeństwa organizacji w dzisiejszym cyfrowym świecie. Opisane studia przypadków pokazują, jak różnorodne zagrożenia mogą zostać zidentyfikowane i skutecznie zarządzane za pomocą tej metodologii.

Podobne wpisy

Cyber Monday — framework DREAD, kolejny przykład modelowania zagrożeń

Cyber Monday — framework DREAD, kolejny przykład modelowania zagrożeń

PrzezIreneusz Sas

Mamy drugi poniedziałek czerwca i czwartą, przed ostatnią publikację z obszaru modelowania zagrożeń. Dzisiaj naszym bohaterem będzie framework DREAD. DREAD to framework, który opracowany został przez firmę Microsoft i opublikowany po raz pierwszy w 2002 roku przez Davida LeBlanca i Michaela Howarda. Jest świetnym uzupełnieniem modelu STRIDE, którego opis znajdziesz tutaj: STRIDE Framework Co kryje…

Phishing — jak jedna wiadomość e-mail zmieniła świat cyfrowego bezpieczeństwa

Phishing — jak jedna wiadomość e-mail zmieniła świat cyfrowego bezpieczeństwa

PrzezIreneusz Sas

Ktoś pomyśli, o ludzie, po raz kolejny phishing. Ileż można?. Spoglądając jednak na statystyki, które niezmiennie pokazują tę formę ataku w czołówce, jest to temat, o którym trzeba pisać i mówić ciągle. Trzeba, tym bardziej że mamy październik, europejski miesiąc cyberbezpieczeństwa. Krótka historia Phishing narodził się w połowie lat 90, kiedy to ówcześni crakerzy, podszywając…

Cyber Monday – klasyczny SOC – czy wciąż nam wystarcza?

Cyber Monday – klasyczny SOC – czy wciąż nam wystarcza?

PrzezIreneusz Sas

W trakcie ostatniej konferencji KSC Forum w Wiśle miałem okazję brać czynny udział w grupie roboczej prowadzonej przez Karol Kij, której tematem było — Bezpieczeństwo jako usługa: przyszłość SOC w kontekście NIS2. Ta dyskusja była przyczynkiem do refleksji i zainspirowała mnie do napisania poniższej publikacji. Temat SOC jest dla mnie o tyle bliski, gdyż sam…

Jak chronić swoje dane i prywatność w social mediach — techniczne aspekty bezpieczeństwa social mediów

Jak chronić swoje dane i prywatność w social mediach — techniczne aspekty bezpieczeństwa social mediów

PrzezIreneusz Sas

Wprowadzenie Internet stał się nieodłącznym medium codzienności miliardów ludzi na całym świecie. Według raportu We Are Social, w lipcu 2024 roku z internetu korzystało łącznie 5,45 mld ludzi, co stanowi około 67,1% całej światowej populacji. Nieodłącznym elementem internetu i naszej codzienności stały się też Social Media. W lipcu 2024 łączna liczba aktywnych kont sięgnęła 5,17…

Cyber Monday — Modelowanie zagrożeń, od czego rozpocząć?

Cyber Monday — Modelowanie zagrożeń, od czego rozpocząć?

PrzezIreneusz Sas

Dzisiejszą publikację poświęcam na bardzo ważny element proaktywnego podejścia do zmniejszenia narażenia organizacji na ryzyko. Mowa tutaj o modelowaniu zagrożeń. Czy to jedyna korzyść płynąca, otóż nie. Dzięki modelowaniu możemy: ZAGROŻENIE, PODATNOŚĆ, RYZYKO Jak napisałem we wstępie, największą korzyścią płynącą ze stosowania modelowania jest zmniejszenie narażenia organizacji na ryzyko. Dlatego, zanim przejdę dalej, chcę wyjaśnić…