آموزش مدل سازی تهدید: دستکاری در عمق
Threat Modeling: Tampering in Depth
نکته:
آخرین آپدیت رو دریافت میکنید حتی اگر این محتوا بروز نباشد.
نمونه ویدیوها:
موضوعات شامل:
- دستکاری به عنوان بخشی از STRIDE
- نحوه سو beاستفاده از اشکال سازها توسط مهاجمان
- اثرات دستکاری در ذخیره سازی
- دستکاری در جریان داده ها
- دستکاری فیزیکی
- دستکاری در سرویس های ابری
- اهداف پیشگیری و کشف
سرفصل ها و درس ها
مقدمه Introduction
-
تهدیدات دستکاری را کاهش دهید Mitigate tampering threats
-
چارچوب چهار سوال Four-question framework
-
به عنوان بخشی از STRIDE Tampering as part of STRIDE
1. دست زدن به یک فرآیند 1. Tampering with a Process
-
اشکال زدایی و ورودی Debuggers and input
-
کتابخانه ها Libraries
-
سیار Mobile
2. جلوگیری از ذخیره سازی 2. Tampering with Storage
-
تنظیم فضای ذخیره سازی محلی Tampering with local storage
-
مجوزها Permissions
-
اثرات دستکاری Effects of tampering
3. دست زدن به چیزها 3. Tampering with Things
-
پیچ کیست؟ دستکاری جسمی اهمیت دارد Whose screw? Physical tampering matters
-
رابط های اشکال زدایی در معرض دید هستند Debug interfaces are exposed
4. دست زدن به زمان خود 4. Tampering with Time Itself
-
زمان به طور فزاینده ای اهمیت دارد Time is increasingly important
5. دستکاری با ابر 5. Tampering with Cloud
-
کنترل و تأیید اعتبار Controls and authentication
-
تبدیل شدن به جین مدیر Becoming Jane Admin
6. تنظیم جریان داده ها 6. Tampering with Data Flows
-
کانال ها و پیام ها Channels and messages
-
بازخوانی و تأمل Replay and reflection
-
هدرها: تزریق و نظم Headers: Injection and order
7. دفاع یکپارچگی 7. Integrity Defenses
-
اهداف پیشگیری و تشخیص Prevention and detection goals
-
رمزنگاری Crypto
-
چیزی ممتاز تر Something more privileged
نتیجه Conclusion
-
مراحل بعدی Next steps
https://donyad.com/d/3f11
Adam Shostack
مشاور، کارآفرین، فنشناس و طراح بازی
آدام شوستاک مشاور، کارآفرین، فنشناس، نویسنده و طراح بازی است.
او یکی از اعضای Black هیئت بازبینی کلاه، و به یافتن آسیبپذیریها و مواجهههای رایج (CVE) و بسیاری موارد دیگر کمک کرد. او در حال حاضر به سازمانهای مختلف کمک میکند تا امنیت خود را بهبود بخشند و به استارتآپها به عنوان یک شبکه مربی MACH37 Stars مشاوره میدهد. زمانی که در مایکروسافت بود، او AutoRun را در Windows Update اجرا کرد، طراح اصلی ابزار SDL Threat Modeling Tool v3 بود و بازی Elevation of Privilege را ایجاد کرد. آدام نویسنده مدل سازی تهدید: طراحی برای امنیت و همکاری href="https://www.amazon.com/New-School-Information-Security-ebook/dp/B004UAALZ0/ref=as_li_ss_tl?ie=UTF8 linkCode=ll1 tag=adamshostack-20 linkId=8ef6dabf9410004UAALZ0" ">مدرسه جدید امنیت اطلاعات.
او یکی از اعضای Black هیئت بازبینی کلاه، و به یافتن آسیبپذیریها و مواجهههای رایج (CVE) و بسیاری موارد دیگر کمک کرد. او در حال حاضر به سازمانهای مختلف کمک میکند تا امنیت خود را بهبود بخشند و به استارتآپها به عنوان یک شبکه مربی MACH37 Stars مشاوره میدهد. زمانی که در مایکروسافت بود، او AutoRun را در Windows Update اجرا کرد، طراح اصلی ابزار SDL Threat Modeling Tool v3 بود و بازی Elevation of Privilege را ایجاد کرد. آدام نویسنده مدل سازی تهدید: طراحی برای امنیت و همکاری href="https://www.amazon.com/New-School-Information-Security-ebook/dp/B004UAALZ0/ref=as_li_ss_tl?ie=UTF8 linkCode=ll1 tag=adamshostack-20 linkId=8ef6dabf9410004UAALZ0" ">مدرسه جدید امنیت اطلاعات.
نمایش نظرات