مدل سازی تهدید STRIDE

0
395

STRIDE مخفف شش دسته تهدید سایبری است: جعل هویت (Spoofing identity)، دستکاری داده ها (Tampering with data)، تهدیدات انکارناپذیر (Repudiation threats)، افشای اطلاعات (Information disclosure)، انکار سرویس (Denial of service) و ارتقای سطح دسترسی (Elevation of privileges) می باشد.

نقش استراید در جلوگیری از حملات سایبری به این معنی است که متخصصان می توانند از مدل تهدید STRIDE برای شناسایی تهدیدها در مرحلۀ طراحی یک برنامه یا سیستم استفاده کنند. گام اول به یافتن تهدیدهای بالقوه با استفاده از یک فرآیند فعال کمک می کند. گام‌های بعدی شامل یافتن ریسک‌ های ذاتی در نحوۀ پیاده‌ سازی سیستم و سپس انجام اقداماتی برای رفع شکاف ‌ها است. هدف متدولوژی STRIDE را می توان این طور بیان کرد که، یک برنامۀ کاربردی علاوه بر مجوز، احراز هویت و عدم گریز از الزامات امنیتی، ملاحظاتی همچون محرمانگی، یکپارچگی و در دسترس بودن را برآورده می کند. در فرآیند امنیت سایبری، ابتدا کارشناسان، یک جریان دادۀ مبتنی بر نمودار می سازند. پس از آن، مهندسان سیستم یا سایر کارشناسان، برنامه را با استفاده از روش STRIDE بررسی می کنند.

مدل سازی تهدید استراید همچنین می‌تواند برای مقابله با تهدیداتی که اخیراً به فضای سایبری وارد شده و با عنوان تهدیدات رایانش ابری شناخته می شود، استفاده شود. توسعه‌دهندگان می‌توانند با استفاده از مدل‌سازی STRIDE، مکانیزم‌های دفاعی لازم برای هر تهدید را طراحی کنند.

مدل‌سازی تهدید، رویکرد شیفت به چپ است. به این معنی که، می توان از آن برای شناسایی و حذف آسیب پذیری های احتمالی قبل از نوشتن یک خط کد استفاده کرد. استفاده از روش‌های مدل‌سازی تهدید باید اولین گام شما برای ساختن شبکه‌ها، سیستم‌ها و برنامه‌هایی باشد که با طراحی ایمن باشند. STRIDE مدلی از تهدیدات است که می تواند به عنوان چارچوبی برای اطمینان از طراحی امن برنامه مورد استفاده قرار گیرد.

علاوه بر این، مدل STRIDE به کارشناسان امنیتی این امکان را می‌دهد که تهدیدات اینترنت اشیا را شناسایی کرده و به مقابله با آن‌ها بپردازند. ضمن این‌که مدیران سازمان‌ها و کارشناسان امنیتی با استفاده از راه‌حلرهای مدل‌سازی تهدید می‌توانند از بروز خطا پیشگیری کرده و رخنه‌های موجود در سیستم‌ها را شناسایی کنند.

STRIDE امکان طراحی سازوکارهای دفاعی لازم از جمله احراز هویت، حفاظت از داده‌ها، بررسی و تأیید محرمانگی، دسترس‌پذیری و صدور مجوز را به ازای هر تهدید به شما می‌دهد.