我正在为我工作的组织研究威胁建模/架构风险分析 (ARA) 方法。我们的业务包括一个主要产品(由大约 500 名开发人员在十年内开发)。该产品包含数百个功能,其中大部分功能远离攻击面,并且与影响不大的数据一起使用。
为了优化我们的 ARA,我希望实施一种功能风险评级方法,该方法将允许软件架构师(不精通安全)轻松评估他们正在生产的功能的影响。根据他们的分数,他们将制作 ARA 的轻量级版本、更详细的版本,甚至咨询安全团队(如果它是一个影响很大的功能)。
你能推荐任何这样的方法吗?我唯一想到的是一份问卷,架构师将填写有关他/她的功能与之交互的资产的信息(基于我们的资产清单),并根据资产影响和一个简单的公式,架构师计算功能影响。
大家有什么更好的想法吗?
我会抽象出这个评级系统的用户的“影响”评级。生成的系统需要清晰、简单和明确。它还需要产生可审计的输出(其他人可以检查)。
我通过降低对数据和与该功能交互的数据系统的分析的复杂性来做到这一点。使用您现有的数据分类和数据风险模型来定义您拥有的各种数据类型(个人、财务、支付卡、健康、敏感等)的特征,并定义这些数据应该具有哪些保护(加密、某些访问级别、等等。)。您可能已经对您拥有的各种数据的影响有了一定程度的了解,所以只需借用它,而不是重新发明轮子。
然后,您可以直接或通过调用其他功能/系统对功能接触的数据的保护/风险级别进行分类。
例子:
The data the feature processes has:
* names or personal identifiers
* payment card data, bank details
* health information
* internal financial information
* internal configuration
* passwords, crypto keys
* ...
The feature interacts with:
* users
* Database A
* Database B
* 3rd party service C
* payment processors
* external researchers
* ...
结果很简单:开发人员检查新功能处理的数据特征以及与之交互的系统,您的清单应该返回功能的分类。审计员/同行只需要检查数据是否确实具有这些数据特征。
总而言之,生成的系统快速、简单且易于理解。使它起作用的是以前在识别某些类型的数据(通过内部风险评级、法律、法规等)所需的风险和保护方面所做的所有工作。
如果您还没有数据分类和数据风险理解,那么首先创建它实际上会更简单,而不是每次有新功能要评估时都重新发明那个轮子。当事情发生变化时,它也会更容易更新这个评级系统,比如法律或公司的风险承受能力(为抽象和封装欢呼三声!)
数据特征清单方法的另一个好处:如果法规发生变化,您有一个预先构建的数据特征清单,因此您知道该数据在您的系统中的流动。它就像一个最新的有机数据流图。
我认为这应该基于该功能访问各种安全/数据/其他区域的能力。可以把它想象成一个手机应用程序,请求对手机特定模块进行各种访问。
因此,请考虑该功能可以做什么/访问/更改并为其分配风险评分。当然,您必须对情况有一个完整的了解,因此您可以设置多个类别,并为每个类别设置最高分。
调查问卷当然可以提供帮助,但前提是要正确完成,考虑到所涉及的所有方面。通常这由评估团队处理,而不仅仅是由架构师处理,因为他可能不会考虑所有影响。