Raccomandazioni per l'analisi delle minacce

Si applica a questa raccomandazione della checklist di sicurezza ben progettata: Power Platform

SE:02 Incorporare un design sicuro utilizzando la modellazione delle minacce per proteggersi da implementazioni che violano la sicurezza.

Un'analisi completa per identificare minacce, attacchi, vulnerabilità e contromisure è fondamentale durante la fase di progettazione di un carico di lavoro. La modellazione delle minacce è un esercizio che include la definizione dei requisiti di sicurezza, l'identificazione e la mitigazione delle minacce e la convalida di tali mitigazioni. Puoi utilizzare questa tecnica in qualsiasi fase dello sviluppo o della produzione dell'applicazione, ma è più efficace durante le fasi di progettazione di nuove funzionalità.

Questa guida descrive le raccomandazioni per eseguire la modellazione delle minacce in modo da poter identificare rapidamente le lacune di sicurezza e progettare le difese di sicurezza.

Definizioni

Termine Definizione
Ciclo di vita dello sviluppo della sicurezza (SDLC) Un processo sistematico a più fasi per lo sviluppo di sistemi software.
STRIDE Tassonomia definita da A Microsoft per categorizzare i tipi di minacce.
Modellazione delle minacce Un processo per identificare potenziali vulnerabilità della sicurezza nell'applicazione e nel sistema, mitigare i rischi e convalidare i controlli di sicurezza.

Strategie di progettazione chiave

La modellazione delle minacce è un processo cruciale che un'organizzazione deve integrare nel proprio SDLC. La modellazione delle minacce non è esclusivamente compito dello sviluppatore. È una responsabilità condivisa tra:

  • Il team del carico di lavoro, responsabile degli aspetti tecnici del sistema.
  • Gli stakeholder aziendali, che comprendono i risultati di business e hanno un interesse intrinseco nella sicurezza.

Spesso c'è una disconnessione tra la leadership organizzativa e i team tecnici per quanto riguarda i requisiti aziendali per carichi di lavoro critici. Questa disconnessione può portare a risultati indesiderati, in particolare per quanto riguarda gli investimenti nella sicurezza.

Considera sia i requisiti aziendali che quelli tecnici nell'esecuzione dell'esercizio di modellazione delle minacce. Il team del carico di lavoro e gli stakeholder aziendali devono concordare le esigenze specifiche di sicurezza del carico di lavoro in modo da poter effettuare investimenti adeguati nelle contromisure.

I requisiti di sicurezza fungono da guida per l’intero processo di modellazione delle minacce. Per renderlo un esercizio efficace, il team del carico di lavoro deve avere un approccio alla sicurezza ed essere formato sugli strumenti di modellazione delle minacce.

Comprendere l'ambito dell'esercizio

Una chiara comprensione dell’ambito è fondamentale per un’efficace modellazione delle minacce. Aiuta a concentrare sforzi e risorse sulle aree più critiche. Questa strategia prevede la definizione dei confini del sistema, l'inventario delle risorse che devono essere protette e la comprensione del livello di investimento necessario nei controlli di sicurezza.

Raccogliere informazioni su ciascun componente

Un diagramma dell'architettura del carico di lavoro è un punto di partenza per la raccolta di informazioni perché fornisce una rappresentazione visiva del sistema. Il diagramma evidenzia le dimensioni tecniche del sistema. Ad esempio, mostra i flussi degli utenti, il modo in cui i dati si spostano attraverso le diverse parti del carico di lavoro, i livelli di sensibilità dei dati, i tipi di informazioni e i percorsi di accesso alle identità.

Questa analisi dettagliata può spesso fornire informazioni dettagliate sulle potenziali vulnerabilità nella progettazione. È importante comprendere la funzionalità di ciascun componente e le relative dipendenze.

Valutare le potenziali minacce

Analizza ogni componente da una prospettiva esterna. Ad esempio, con quanta facilità un utente malintenzionato può accedere a dati sensibili? Se gli utenti malintenzionati riescono ad accedere all’ambiente, possono spostarsi lateralmente e potenzialmente accedere o addirittura manipolare altre risorse? Queste domande ti aiutano a capire in che modo un utente malintenzionato potrebbe sfruttare le risorse del carico di lavoro.

Classificare le minacce utilizzando una metodologia di settore

Una metodologia per classificare le minacce è STRIDE, utilizzata dal Microsoft Security Development Lifecycle. La classificazione delle minacce ti aiuta a comprendere la natura di ciascuna minaccia e a utilizzare controlli di sicurezza appropriati.

Mitigare le minacce

Documenta tutte le minacce identificate. Per ciascuna minaccia, definisci i controlli di sicurezza e la risposta a un attacco se tali controlli non hanno esito positivo. Definisci un processo e una sequenza temporale che riducano al minimo l'esposizione a eventuali vulnerabilità identificate nel carico di lavoro, in modo che tali vulnerabilità non possano rimanere irrisolte.

Usa l'approccio presumere una violazione. Può aiutare a identificare i controlli necessari nella progettazione per mitigare i rischi se un controllo di sicurezza primario non ha esito positivo. Valuta la probabilità che il controllo primario non riesca. In tal caso, qual è la portata del potenziale rischio organizzativo? Inoltre, qual è l’efficacia dei controlli compensativi? Sulla base della valutazione, applica misure di difesa approfondite per affrontare potenziali errori nei controlli di sicurezza.

Ecco un esempio:

Poni questa domanda Per determinare i controlli che...
Le connessioni sono autenticate tramite Microsoft Entra ID e utilizzano protocolli di sicurezza moderni approvati dal team di sicurezza:

- Tra gli utenti e l'applicazione?

- Tra componenti applicativi e servizi?

- Tra gli utenti e il copilota?
Impedire l'accesso non autorizzato ai componenti e ai dati dell'applicazione.
Stai limitando l'accesso solo agli account che necessitano di scrivere o modificare i dati nell'applicazione? Prevenire la manomissione o l'alterazione non autorizzata dei dati.
L'attività dell'applicazione viene registrata e inserita in un sistema di informazioni di sicurezza e gestione degli eventi (SIEM) tramite Monitoraggio di Azure o una soluzione simile? Rilevare e analizzare rapidamente gli attacchi.
I dati critici sono protetti con la crittografia approvata dal team di sicurezza? Impedire la copia non autorizzata di dati inattivi.
Il traffico di rete in entrata e in uscita è isolato nei domini approvati dai team di sicurezza? Impedire la copia non autorizzata di dati.
L'applicazione è protetta dall'accesso da luoghi esterni/pubblici come bar tramite l'utilizzo di firewall IP nell'ambiente? Impedire l'accesso da luoghi pubblici non autorizzati.
L'applicazione archivia le credenziali o le chiavi di accesso per accedere ad altre applicazioni, database o servizi? Identificare se un attacco può utilizzare la tua applicazione per attaccare altri sistemi.
I controlli dell'applicazione ti consentono di soddisfare i requisiti normativi? Proteggere i dati privati degli utenti ed evitare sanzioni di conformità.

Tenere traccia dei risultati della modellazione delle minacce

Ti consigliamo vivamente di utilizzare uno strumento di modellazione delle minacce. Gli strumenti possono automatizzare il processo di identificazione delle minacce e produrre un report completo di tutte le minacce identificate. Assicurati di comunicare i risultati a tutti i team interessati.

Tieni traccia dei risultati come parte del backlog del team del carico di lavoro per consentire la responsabilizzazione in modo tempestivo. Assegna attività alle persone responsabili della mitigazione di un particolare rischio identificato con la modellazione delle minacce.

Man mano che aggiungi nuove funzionalità alla soluzione, aggiorna il modello delle minacce e integralo nel processo di gestione del codice. Se riscontri un problema di sicurezza, assicurati che esista un processo per valutare il problema in base alla gravità. Il processo deve aiutarti a determinare quando e come risolvere il problema (ad esempio, nel ciclo di rilascio successivo o in un rilascio più rapido).

Esaminare regolarmente i requisiti dei carichi di lavoro business-critical

Incontra regolarmente gli sponsor esecutivi per definire i requisiti. Queste revisioni offrono l’opportunità di allineare le aspettative e garantire l’allocazione delle risorse operative all’iniziativa.

Facilitazione di Power Platform

Power Platform si basa su una cultura e una metodologia di progettazione sicura. Sia la cultura che la metodologia vengono costantemente rafforzate attraverso le pratiche leader del settore di Microsoft Security Development Lifecycle (SDL) e Modellazione delle minacce.

Il processo di revisione della modellazione delle minacce garantisce che le minacce vengano identificate durante la fase di progettazione, mitigate e convalidate per assicurarsi che le minacce siano state mitigate.

La modellazione delle minacce tiene conto anche di tutte le modifiche ai servizi già attivi attraverso continue revisioni periodiche. Il modello STRIDE aiuta ad affrontare i problemi più comuni con una progettazione insicura.

MicrosoftL'SDL è equivalente al OWASP Software Assurance Maturity Model (SAMM). Entrambi si basano sul presupposto che una progettazione sicura è parte integrante della sicurezza delle applicazioni web.

Per ulteriori informazioni, vedi I 10 principali rischi di OWASP: mitigazioni in Power Platform.

Esempio

Questo esempio si basa sull'ambiente informatico (IT) stabilito in Consigli per stabilire una base di sicurezza. Questo approccio fornisce un'ampia comprensione del panorama delle minacce nei diversi scenari IT.

Personaggi del ciclo di vita dello sviluppo. Sono numerose le persone coinvolte nel ciclo di vita dello sviluppo, inclusi sviluppatori, tester, utenti finali e amministratori. Tutti potrebbero essere compromessi e mettere a rischio il tuo ambiente a causa di vulnerabilità o minacce create intenzionalmente.

Potenziali aggressori. Gli utenti malintenzionati considerano disponibile un'ampia gamma di strumenti facilmente utilizzabili in qualsiasi momento per esplorare le tue vulnerabilità e avviare un attacco.

Controlli di sicurezza. Come parte dell'analisi delle minacce, identifica Microsoft, Azure e Power Platform i servizi di sicurezza da utilizzare per proteggere la tua soluzione e il livello di efficacia di tali soluzioni.

Raccolta di registri. I log delle risorse e di altri componenti inclusi nel carico di lavoro, come le risorse di Azure e i componenti locale, possono essere inviati a Purview in modo da comprendere il comportamento della soluzione sviluppata e provare a rilevare le vulnerabilità iniziali. Power Platform Application Insights Microsoft

Soluzione di informazioni di sicurezza gestione eventi (SIEM). Microsoft Sentinel può essere aggiunto anche in una fase iniziale della soluzione, in modo da poter creare alcune query analitiche per mitigare minacce e vulnerabilità, anticipando la sicurezza ambiente quando si è in produzione.

Elenco di controllo della sicurezza

Fai riferimento alla serie completa di elementi consigliati.