3. Adım - Düzeltme
Düzeltme aşaması tüm tehditlerin kaderine karar verilen aşamadır. Her STRIDE tehdidi, seçilebilecek farklı işlevler ve türler sunan bir veya birden çok güvenlik denetimine eşlenir.
Hedefler
- Bir öncelik belirleme çerçevesine veya güvenlik hatası çubuğuna göre her tehdidi ölçme
- Hata yönetimi hizmetinde her tehdidi bir görev veya iş öğesi olarak izleme
- STRIDE tehditleriyle eşlenen güvenlik denetimi önerileri oluşturma
- Her tehditle ilgilenmek için bir veya birden çok güvenlik denetimi türü ve işlevi seçme
- Görevleri çözme
Önemli
Bu aşamayı tamamlamazsanız, riski azaltmanıza veya her tehdidi düzgün bir şekilde izlemenize yardımcı olacak güvenlik denetimlerini bulamazsınız.
Tehdit izleme iş akışı ayarlama
Tehditlere öncelik veren ve bunları ele almak için görevler oluşturan bir tehdit izleme iş akışı ayarlayın.
Tehditleri önceliklendirme
Başlangıç olarak bir öncelik belirleme çerçevesine veya güvenlik hatası çubuğuna göre her tehdidi ölçün. Bu işlem kuruluşunuzla ilgili en önemli sorunları çözmek için kaynakları düzenlemenize yardımcı olur.
İşlemde üç anahtar değişkeni kullanılır:
| Değişken | Açıklama |
|---|---|
| Etki | Etkiyi atamak için STRIDE kategorilerini kullanır |
| Önem | En kötü durum senaryolarını kullanarak önem derecesi atamak için iç hata çubuğunu veya öncelik belirleme çerçevesini kullanır |
| Risk | Güvenlik denetiminin etki düzeyinin ve uygulama maliyetinin bir hesaplamasını kullanır |
Bahşiş
Microsoft mühendisleri tehditlere Kritik, Önemli, Orta, Düşük ve Bilgi önem derecelerini atayan bir şirket içi güvenlik hatası çubuğu kullanır. Sorunlarınızın önceliğini nasıl belirleyeceğiniz konusunda güvenlik ekibinize danışın.
Görev oluşturma
Ardından, Azure DevOps Services gibi bir hata yönetimi çözümüne her tehdidi ekleyin. Bazı avantajları şunlardır:
- Sorun sahipliğini güçlendirir
- Geçmişi etkili bir şekilde izler
- Öncelik belirleme ve çözme alıştırmaları için standartlaştırılmış şablonlar kullanabilmenizi sağlar
Güvenlik denetimi verimliliğini ve maliyetini derecelendir
STRIDE tehditleriyle eşleşen güvenlik denetimi önerilerinin her birini ziyaret edin. En etkili ve gerçekleştirmesi en ucuz olanları not alın. İşte birkaç örnek:
| Tehdit | Güvenlik Denetimi | Güvenlik Denetimi Örneği |
|---|---|---|
| Spoofing (Kimlik Sahtekarlığı) | Kimlik Doğrulaması | Kaynağın kimliğini doğrulamak ve ileti bütünlüğünü sağlamak için dijital imzalarla imzalanan iletileri gönderme ve alma |
| Tampering (Kurcalama) | Bütünlük | Kötü amaçlı yüklerin işlenmesini ve beklenmeyen davranışların yanlış işlenmesini önlemek için girişi doğrulayın |
| İnkar | Inkar | Kullanıcı eylemleri ve zaman damgaları içeren güvenlik günlükleri oluşturma ve koruma |
| Bilgilerin açığa çıkması | Gizlilik | Doğru kullanıcıların doğru verilere erişebildiğinden emin olmak için erişim denetim listeleri uygulama |
| Hizmet reddi | Kullanılabilirlik | Artan veya azalan kullanımı yönetmek için elastik kaynakları kullanma |
| Ayrıcalık yükseltme | Yetkilendirme | Mümkün olan en düşük erişim miktarını kullanarak hizmeti çalıştırma |
Bahşiş
Aynı anda birden çok tehdidi azaltan veya tamamen ortadan kaldıran güvenlik denetimleriyle karşılaşabilirsiniz. Örneğin SSL/TLS kullanmak, kötü amaçlı veri değiştirme veya verileri açığa çıkarma işlemlerini önlemeye yardımcı olmak için güvenli iletim kanalları oluşturur.
Güvenlik denetimi türleri ve işlevleri
Güvenlik denetimlerinin farklı türleri ve işlevleri vardır. Bunlar birleştirildiğinde sisteminizin güvenliğini sağlamaya ve derinlemesine savunma olarak da bilinen birden çok güvenlik katmanı oluşturmaya yardımcı olur.
Bir veya birden fazla güvenlik denetimi türü seçebilirsiniz:
- Fiziksel, örneğin kameralar
- Teknik, örneği şifreleme
- Yönetim, örneğin ilkeler
Bu türlerde bir veya daha fazla güvenlik denetimi işlevi vardır:
| İşlev | Açıklama |
|---|---|
| Önleyici | Tehdidin olasılığını veya etkisini azaltır, örneğin güvenlik duvarları |
| Algılayıcı | Saldırıları oluştukları sırada belirler, örneğin gözetim |
| Düzeltici | Sistemin devam eden bir saldırıya nasıl yanıt vereceğini denetler, örneğin sistem yamaları |
| Kurtarma | Yedeklemeler gibi bir saldırıdan sistemi kurtarır |
| Caydırıcı | Saldırganları sistemden uzak tutar, örneğin en düşük ayrıcalık |
Her soruna güvenlik denetimi ayrıntıları ekleme
Hata yönetim çözümündeki her soruna ayrıntıları ekleme, daha sonra her sorunu aşağıdaki çözümlerden birisiyle çözümleme. Bunlar kuruluştan kuruluşa göre biraz farklılık gösterir:
| Çözüm | Açıklama |
|---|---|
| Azaltma | Tehdit etkisini ve önem derecesini azaltmak veya ortadan kaldırmak için hata düzeltmelerini veya yeniden tasarlamayı kullanın. |
| Aktarma | Sorunu başka bir sisteme veya takıma atayın. |
| Önleme | Sistemin sorunu içeren bölümü kesilecek. |
| Accept | Risk, çözüm olmadan kabul edilir. Bu çözüm, yetkili bir risk karar alıcısının onaylanmasını gerektirir. Karar, tehdit önem derecesine bağlı olabilir. Kritik önem derecesindeki tehditler üst düzey liderlikten onay gerektirirken, derinlemesine savunma riski üst düzey bir mühendisin onayını gerektirebilir. Stratejik yönergeler için ekibinizle görüşün. |