Опыт моделирования угроз в Microsoft

Аннотация. В данной статье описаны десять лет работы Microsoft по созданию программных продуктов и служб для моделирования угроз. Рассмотрена современная методология моделирования, использующаяся в цикле разработки программного обеспечения Security Development Lifecycle. Данная методология представляет собой практический подход, который могут применять и неэксперты. Этот подход основан на построении диаграмм потоков данных и методе перечисления "угрозы на элемент". Статья описывает тот опыт, который будет полезен и при использовании других методик анализа безопасности. В заключении работы приводятся возможные темы для дальнейших научных исследований.

1 Введение

Компания Microsoft использует различные методологии моделирования угроз с 1999 года. Эти методы помогали находить ошибки в защите программных продуктов и были объединены в Security Development Lifecycle (SDL) - набор процедур, применяемый ко всем разработкам Microsoft, предполагающим работу с высоким уровнем угроз безопасности и конфиденциальности. Microsoft и сейчас продолжает развивать и совершенствовать имеющиеся инструменты, методологии и процедуры с учетом накопленного опыта. Данная статья призвана рассказать об истории создания SDL-методов моделирования угроз и об уроках, усвоенных в процессе их разработки (которые могут оказаться полезными и за пределами Microsoft), описать используемые сегодня подходы и поделиться темами, представляющими, как мы надеемся, интерес для научных исследователей.

Источник: www.securitylab.ru


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок