מודל האיומים הינו תהליך של הערכת ותיעוד סיכונים אבטחתיים הקיימים במערכת ברמה האפליקטיבית. מודל זה מאפשר להבין את הסיכונים הקיימים במערכת מתוך הסתכלות בעיניים של תוקף פוטנציאלי. מודל האיומים הינו תהליך אינטראקטיבי, רב פעמי אשר נעשה בו שימוש לאורך כל מחזור החיים של האפליקציה. המודל מסייע בצמצום ה – Total Cost of Ownership לאור היכולת למקד את מאמצי הפיתוח בנושאי אבטחת מידע באזורים הבעייתיים בניגוד לירייה לכל הכיוונים. יכולת זו מאפשרת השגת רמת אבטחה מיטבית בנקודות החשובות והרגישות באמת, בניגוד למתן מענה לכלל המערכת באופן רוחבי אשר לא מייחס חשיבות לנקודות הבעייתיות.
למעט נושא ה – TCO קיימות סיבות נוספות לשימוש במודל ובינהן ניתן לציין את הגישה המבנית, אשר מלווה את המערכת בכל שלבי הפיתוח. גישה זו הינה יעילה בחשיפה מתודית של האיומים, בניגוד תחושות בטן, מבלי לדעת בדיוק מהם האיומים אשר כל רכיב אבטחה מגן בפניו - דבר אשר עלול ליצור תחושת אבטחה מוטעית ולהשאיר חורי אבטחה במערכת. יש לזכור כי שימוש במודל זה מחייב את צוות הפיתוח ללמוד ולהכיר את כל המנגנונים האבטחתיים הקיימים במערכת על מנת להגן ולאבטח את הנכסים והמידע במערכת.
תהליך Threat Modeling מתחלק לחמישה שלבים עיקריים:
• זיהוי משאבים – זיהוי משאבים רגישים עליהם יש להגן, החל ממידע רגיש ועד זמינות אתר ה-WEB.
• חלוקה לרכיבים עיקריים – פירוק האפליקציה לרכיבים עיקריים, בחינת הקשרים בינהם ומעברי המידע בינהם. הצגה בעזרת תרשימי DFD(Data Flow Diagram).
• זיהוי האיומים – שימוש במודל STRIDE (Spoofing, Tampering, Repudiation, Information disclosure, Denial of Service, and Elevation of privilege ) על מנת לבחון האם האפליקציה פגיעה לסוגי התקפות שונות.
• שערוך פוטנציאל נזק – שימוש במודל DREAD (Damage potential, Reproducibility, Exploitability , Affected users, Discoverability). על מנת לשערך את פוטנציאל הנזק והסיכוי לפגיעה של כל איום. לאחר מכן, מטפלים בכל איום, מהכבד אל הקל.
• תיעוד האיומים - לאחר ביצוע השלבים הנ"ל, מפיקים מסמך אשר יכיל את כל המידע אשר נאסף בשלבים הקודמים. בהמשך נראה כיצד להשתמש בכלי TMT על מנת להפיק מסמך זה.
נהוג לעשות שימוש בשיטה הנקראת עצי איומים (Threat Trees). שיטה זו מבוססת על אחת מהמתודולוגיות הידועות והותיקות לזיהוי תקלות ברכיבי חומרה - עצי תקלה fault-trees)). הרעיון מאחורי עצי האיומים הוא שהאפליקציה מורכבת ממטרות מתקפה שונות, וכל מטרה שכזו עלולה להכיל פרצות שבזמן מתקפה מוצלחת יובילו להשתלטות על המערכת או לסיכון המידע הרגיש. עץ האיומים מתאר את תהליך קבלת ההחלטות שיבצע התוקף הפוטנציאלי בעת התקפות על רכיבי המערכת השונים. בשלבים הראשוניים של סקירת המערכת ותהליכיה אנו מזהים את רכיבי המערכת השונים, ומזהים את האיומים העומדים בפני כל רכיב. לאחר זיהוי האיומים הפוטנציאלים, מחליטים איך יתבטא האיום, בעזרת עצי ההתקפה. אין ספק כי לשיטה זו יתרונות רבים ובעתיד אני צופה כי מודל זה יכנס כחלק משגרת העבודה בכל ארגון המטפל הנושאי אבטחת מידע.
אין ספק שאנו רואים נטייה הולכת וגוברת לעבודה על בסיס תקנים, לא רק ברמה הארגונית אל מול דרישות של גופים מנחים, אלא גם ברמה הספציפית של בחינת אפליקציה פרטנית ייעודית. היכולת של המודל לצמצם את ה - TCO הינה מהותית ואין לי ספק שבטווח הזמן המודל ישוכלל ויאפשר הגדלת החיסכון.
kobi@avnet.co.il
אודות אבנת:חברת אבנת אבטחת נתונים וניהול סיכונים (1995) היא חברה בבעלות פרטית המתמחה בייעוץ בתחומי אבטחת מידע. החברה מתמחה בביצוע סקרי סיכונים, ייעוץ ילוייו פרוייקטים בהיבטי אבטחת מידע, ביצוע בחינות תשתית אבטחתיות ובינהן בחינות אפליקציה, תקיפה מבוקרת, מערכות הפעלה ותקשורת ואבטחת ERP. החברה מעסיקה כ-50 יועצים ופועלת בתחומי הבנקאות הביטוח, הממשל, התעשייה והתקשורת. http://www.avnet.co.il
