DevSecOps-定義網路威脅的樣貌
Apr 23, 2024
孫子兵法謀攻篇:知彼知己,百戰不殆;不知彼而知己,一勝一負;不知彼,不知己,每戰必敗。
DevSecOps的目標是:
- 理解威脅以評估風險
- 支援 DevSecOps 風險/威脅對話
- 理解關於人、流程與技術的安全面向
TTP(Tactics, Techniques與Procedure)描述了駭客如何編排和管理攻擊。 「戰術」有時也被稱為「工具」的縮寫。這也是紅藍隊中的紅隊經常使用的方法。
什麼是網路威脅樣貌?(Cyber Threat Landscape)
Threat —
任何被判定可能對我們的 DevOps 實踐造成損害/危險的人或事物。
Cyber —
網路,資訊科技基礎設施的獨立網路,包括網際網路、電信網路、電腦系統以及嵌入式進程和控制器(IoT)。
風險與脆弱性
威脅 = 風險 x 脆弱性。
我們必須先評估組織或是系統(包含人)的脆弱性是甚麼。以下三點是需要考量可能的威脅衝擊:
- 可能性(Proability)
- 意圖(Intent)
- 能力(Capability)
威脅模型
在制定對策之前,我們需要透過識別目標和脆弱性來優化網路安全。我們可以使用威脅模型來協這我們辨識。以下有三種:
STRIDE — 這由微軟所發展,目前已不再支援
- Spoofing
- Tampering
- Repudiation
- Information Disclosure
- Denial of Service
- Elevation Privilege
DREAD — 一樣由微軟所發展
- Damage
- Reproducibility
- Exploitability
- Affected Users
- Discoverability
OCTAVE — 評估組織風險。 建立檔案、ID 基礎設施、制定策略
- Operationally Critical Threat
- Asset
- Vulnerability Evaluation
威脅行為人
入侵者/攻擊者
- 國家級駭客
- 非國家級(如民兵組織 — 敘利亞電子軍 )
- 罪犯(例如黑手黨)
- 駭客行動主義者(如匿名者)
防禦者
- 國家等級
- 非國家級(城市等級)
- 一般企業(MSSP — Managed Security Provider)
行動方式
- 間諜(目的是偷取)
- 破壞
- 顛覆
我們要保護的資產是甚麼?
我們要怎麼量測我們的保護是到位的?我們有指標嗎?這個指標適合用在安全面向的嗎?哪對C.I.A的風險是甚麼?把系統做成一個DIE。
保護指標
1. 組織的關鍵資產在哪裡?
- 甚麼創造了業務價值?
- 是專有技術專利或代碼嗎?
- 保護的實踐是甚麼?
- 菁英員工?
2. 我們如何辨識曝險?
3.理解/分配關鍵指標
- 佈署頻率
- 佈署失敗率
- 代碼提交次數
- Lead time
- MTTC(Mean Time to Change)
- 錯誤率
- MTTD(Mean Time to Detect)
- MTTR(Mean Time to Recovery)
4. 流程需要遙測
擷取和報告指標的自動化流程
