STRIDE

Методика определения актуальных угроз информационных систем.
Если простыми словами — это схема/табличка, где расписаны потенциальные уязвимости отдельно взятого проекта. Чем больше дерьма в своей работе повидал ИБ-специалист — тем более качественная карта угроз получается 😮💨
Анализ состоит из двух ключевых элементов: что может случиться и как мы можем это предотвратить.
Разберём STRIDE на ярком примере — интернет-магазин для взрослых
S — Подмена личности
Ситуация: хакеры получили доступ к аккаунту клиента и за его счёт заказали ему на дом неопознанный для неискушённого человека предмет.
Защита: двухфакторная аутентификация для пользователей.
T — Нарушение целостности данных
Ситуация: какой-то «гений» поменял цену, и теперь костюм властелина раздаётся даром.
Защита: валидация данных и строгая проверка запросов.
R — Отказ от ответственности
Ситуация: Константин вдруг утверждает, что он ничего не заказывал, и требует вернуть деньги за половину ассортимента, который не подошёл по размеру.
Защита: логируем абсолютно всё.
I — Раскрытие данных
Ситуация: кто-то опубликовал список клиентов, и теперь эта недовольная толпа планирует отомстить директору его же товарами.
Защита: шифрование базы данных.
D — Отказ в обслуживании
Ситуация: сайт не выдержал активности перед 1 апреля, и теперь клиенты лишены приятных сюрпризов в важный день.
Защита: DDoS-защита и дополнительные серверные мощности.
E — Повышение привилегий
Ситуация: сотрудник после увольнения через админку сделал акцию «Да #$&@! оно всё в…» — скидка 99% на весь ассортимент.
Защита: регулярные проверки доступов и контроль привилегий.
⚙️ Как применить STRIDE на практике?
-
Разделите вашу систему на компоненты (например: авторизация, база данных, платёжная система).
-
Определите угрозы по каждой категории STRIDE для каждого компонента.
-
Оцените критичность угрозы по вероятности и последствиям.
-
Предложите меры защиты для устранения или минимизации каждой угрозы.
На курсе «Специалист по кибербезопасности» мы обучаем из чего состоит инфраструктура IT-проектов и правильному подходу к их аналитике безопасности. Поверьте, любая компания дорожит человеком, который умеет анализировать и прогнозировать риски. Стартуем 12 мая.