STRIDE

STRIDE微软的Praerit Garg和Loren Kohnfelder建立的威脅模型[1],目的是在找出電腦安全上的威脅[2]。是六種安全威脅分類英文的字首組成的助憶詞[3]

這六種威脅是:

  • 欺騙Spoofing)
  • 篡改Tampering)
  • 否認Repudiation)
  • 資訊泄露(Information disclosure),可能是私隱泄露或是資料外洩
  • 阻斷服務攻擊Denial of service)
  • 特权提升Elevation of privilege)[4]

STRIDE一開始是設計作為威脅模型分析程序的一部份。STRIDE是威脅模型,讓分析者可以理解威脅系統的方式,並設法找出威脅。STRIDE可以和目標系統的模型一起使用。分析過程會將程序、資料儲存、資料流及信任邊界(Ttrust boundaries)進行完整的拆解[5]

安全專家會用STRIDE來回答這個問題:「目前運作的系統中,哪些地方可能會有問題?」

每一個的威脅都會影響系統理想的屬性

威脅理想屬性
欺騙身份验证
篡改完整性
否認不可否認
資訊泄露保密
阻斷服務可用性
特权提升授權

有關威脅的說明

「否認」這個威脅比較特殊,在安全的觀點上這是威脅,但是在一些私用系統上,是系統希望要有的特性(例如Goldberg的不留记录即时通讯系統)。

特权提升(Elevation of Privilege)有時也會稱為escalation of privilege或privilege escalation。

相關條目
  • 攻擊樹:另一種安全威脅建模的作法,從依賴樹延伸的概念。
  • 计算机安全
  • DREAD:安全威脅有關的助憶詞。
  • OWASP:透過教育提昇網頁安全性的組織
  • 信息安全中的CIA,也稱為AIC,也是IT系統安全性的助憶詞。

參考資料
  1. Shostack, Adam. . Microsoft SDL Blog. Microsoft. [18 August 2018].
  2. Kohnfelder, Loren; Garg, Praerit. . Microsoft Interface. April 1, 1999 [18 August 2018].
  3. . Microsoft. Microsoft.
  4. Guzman, Aaron; Gupta, Aditya. . Packt Publishing. 2017: 34–35. ISBN 978-1-78728-517-0.
  5. Shostack. . Wiley. 2014: 61–64. ISBN 978-1118809990.

外部連結
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.