STRIDE是微软的Praerit Garg和Loren Kohnfelder建立的威脅模型[1],目的是在找出電腦安全上的威脅[2]。是六種安全威脅分類英文的字首組成的助憶詞[3]。
這六種威脅是:
- 欺騙(Spoofing)
- 篡改(Tampering):也就是資料修改
- 否認(Repudiation)
- 資訊泄露(Information disclosure),可能是私隱泄露或是資料外洩
- 阻斷服務攻擊(Denial of service)
- 特权提升(Elevation of privilege)[4]
STRIDE一開始是設計作為威脅模型分析程序的部份。STRIDE是威脅模型,讓分析者可以理解威脅系統的方式,並設法找出威脅。STRIDE可以和目標系統的模型一起使用。分析過程會將程序、資料儲存、資料流及信任邊界(Trust boundaries)進行完整的拆解[5]。
安全專家會用STRIDE來回答這個問題:「目前運作的系統中,哪些地方可能會有問題?」
每一個的威脅都會影響理想的系統屬性:
有關威脅的說明 编辑
「否認」這個威脅比較特殊,在安全的觀點上這是威脅,但是在一些私用系統上,是系統希望要有的特性(例如Goldberg的不留记录即时通讯系統)。
特权提升(Elevation of Privilege)有時也會稱為escalation of privilege或privilege escalation。
相關條目 编辑
- 攻擊樹:另一種安全威脅建模的作法,從依賴樹延伸的概念。
- 计算机安全
- DREAD:安全威脅有關的助憶詞。
- OWASP:透過教育提昇網頁安全性的組織
- 信息安全中的CIA,也稱為AIC,也是IT系統安全性的助憶詞。
參考資料 编辑
- ^ Shostack, Adam. "The Threats To Our Products". Microsoft SDL Blog. Microsoft. [18 August 2018]. (原始内容于2018-08-18).
- ^ Kohnfelder, Loren; Garg, Praerit. The threats to our products. Microsoft Interface. April 1, 1999 [18 August 2018]. (原始内容于2022-01-21).
- ^ The STRIDE Threat Model. Microsoft. Microsoft. [2020-10-12]. (原始内容于2017-10-03).
- ^ Guzman, Aaron; Gupta, Aditya. IoT Penetration Testing Cookbook: Identify Vulnerabilities and Secure your Smart Devices. Packt Publishing. 2017: 34–35. ISBN 978-1-78728-517-0.
- ^ Shostack. Threat Modeling: Designing for Security. Wiley. 2014: 61–64. ISBN 978-1118809990.
外部連結 编辑
stride, 是微软的praerit, garg和loren, kohnfelder建立的威脅模型, 目的是在找出電腦安全上的威脅, 英语, threat, computer, 是六種安全威脅分類英文的字首組成的助憶詞, 這六種威脅是, 欺騙, spoofing, 篡改, tampering, 也就是資料修改, 否認, repudiation, 資訊泄露, information, disclosure, 可能是私隱泄露, 英语, data, privacy, 或是資料外洩, 阻斷服務攻擊, denial, se. STRIDE是微软的Praerit Garg和Loren Kohnfelder建立的威脅模型 1 目的是在找出電腦安全上的威脅 英语 Threat computer 2 是六種安全威脅分類英文的字首組成的助憶詞 3 這六種威脅是 欺騙 Spoofing 篡改 Tampering 也就是資料修改 否認 Repudiation 資訊泄露 Information disclosure 可能是私隱泄露 英语 data privacy 或是資料外洩 阻斷服務攻擊 Denial of service 特权提升 Elevation of privilege 4 STRIDE一開始是設計作為威脅模型分析程序的部份 STRIDE是威脅模型 讓分析者可以理解威脅系統的方式 並設法找出威脅 STRIDE可以和目標系統的模型一起使用 分析過程會將程序 資料儲存 資料流及信任邊界 Trust boundaries 進行完整的拆解 5 安全專家會用STRIDE來回答這個問題 目前運作的系統中 哪些地方可能會有問題 每一個的威脅都會影響理想的系統屬性 威脅 理想屬性欺騙 身份验证篡改 完整性否認 不可否認資訊泄露 保密阻斷服務 可用性特权提升 授權目录 1 有關威脅的說明 2 相關條目 3 參考資料 4 外部連結有關威脅的說明 编辑 否認 這個威脅比較特殊 在安全的觀點上這是威脅 但是在一些私用系統上 是系統希望要有的特性 例如Goldberg的不留记录即时通讯系統 特权提升 Elevation of Privilege 有時也會稱為escalation of privilege或privilege escalation 相關條目 编辑攻擊樹 另一種安全威脅建模的作法 從依賴樹延伸的概念 计算机安全 DREAD 英语 DREAD risk assessment model 安全威脅有關的助憶詞 OWASP 透過教育提昇網頁安全性的組織 信息安全中的CIA 也稱為AIC 也是IT系統安全性的助憶詞 參考資料 编辑 Shostack Adam The Threats To Our Products Microsoft SDL Blog Microsoft 18 August 2018 原始内容存档于2018 08 18 Kohnfelder Loren Garg Praerit The threats to our products Microsoft Interface April 1 1999 18 August 2018 原始内容存档于2022 01 21 The STRIDE Threat Model Microsoft Microsoft 2020 10 12 原始内容存档于2017 10 03 Guzman Aaron Gupta Aditya IoT Penetration Testing Cookbook Identify Vulnerabilities and Secure your Smart Devices Packt Publishing 2017 34 35 ISBN 978 1 78728 517 0 Shostack Threat Modeling Designing for Security Wiley 2014 61 64 ISBN 978 1118809990 外部連結 编辑Uncover Security Design Flaws Using The STRIDE Approach 取自 https zh wikipedia org w index php title STRIDE amp oldid 77989235, 维基百科,wiki,书籍,书籍,图书馆,
文章
,阅读,下载,免费,免费下载,mp3,视频,mp4,3gp, jpg,jpeg,gif,png,图片,音乐,歌曲,电影,书籍,游戏,游戏。