STRIDE

28 марта 2025 г.CyberYozh
STRIDE | 🔁 Новости из телеграм - Ghostbase News

STRIDE

Методика определения актуальных угроз информационных систем.

Если простыми словами — это схема/табличка, где расписаны потенциальные уязвимости отдельно взятого проекта. Чем больше дерьма в своей работе повидал ИБ-специалист — тем более качественная карта угроз получается 😮‍💨

Анализ состоит из двух ключевых элементов: что может случиться и как мы можем это предотвратить.

Разберём STRIDE на ярком примере — интернет-магазин для взрослых

S — Подмена личности

Ситуация: хакеры получили доступ к аккаунту клиента и за его счёт заказали ему на дом неопознанный для неискушённого человека предмет.

Защита: двухфакторная аутентификация для пользователей.

T — Нарушение целостности данных

Ситуация: какой-то «гений» поменял цену, и теперь костюм властелина раздаётся даром.

Защита: валидация данных и строгая проверка запросов.

R — Отказ от ответственности

Ситуация: Константин вдруг утверждает, что он ничего не заказывал, и требует вернуть деньги за половину ассортимента, который не подошёл по размеру.

Защита: логируем абсолютно всё.

I — Раскрытие данных

Ситуация: кто-то опубликовал список клиентов, и теперь эта недовольная толпа планирует отомстить директору его же товарами.

Защита: шифрование базы данных.

D — Отказ в обслуживании

Ситуация: сайт не выдержал активности перед 1 апреля, и теперь клиенты лишены приятных сюрпризов в важный день.

Защита: DDoS-защита и дополнительные серверные мощности.

E — Повышение привилегий

Ситуация: сотрудник после увольнения через админку сделал акцию «Да #$&@! оно всё в…» — скидка 99% на весь ассортимент.

Защита: регулярные проверки доступов и контроль привилегий.

⚙️ Как применить STRIDE на практике?

  1. Разделите вашу систему на компоненты (например: авторизация, база данных, платёжная система).

  2. Определите угрозы по каждой категории STRIDE для каждого компонента.

  3. Оцените критичность угрозы по вероятности и последствиям.

  4. Предложите меры защиты для устранения или минимизации каждой угрозы.

На курсе «Специалист по кибербезопасности» мы обучаем из чего состоит инфраструктура IT-проектов и правильному подходу к их аналитике безопасности. Поверьте, любая компания дорожит человеком, который умеет анализировать и прогнозировать риски. Стартуем 12 мая.

Ссылка на постВ канал