【STRIDE】【1】安全威胁分析设计

简介:

      自2013年7月美国帅哥斯诺登披露棱镜门事件后,国内软件企业对安全的态度犹如一夜春风来,各种安全峰会、培训、交流等络绎不绝,阿里、360、微软、腾讯等安全人员也开始open起来。

       试想作为一个软件企业如何做好安全呢?企业中的测试人员的重点都放在功能测试上,对安全考虑相对较少,研发丝们更不会去考虑安全,此时老板头大了。

     y_0020.gif

      腾讯、阿里的通常做法是一个安全大牛带着团队针对需求进行发散性思维,这样做的好处是员工可以充分讨论,安全能力能快速提升,缺点是要求员工的安全能力特别强。那么有没有一种方法让一般的IT开发人员也能做好安全呢?微软给我们做了一个榜样:据说在Windows XP操作系统开发时,他们把所有的工作都停下来,对员工进行了全面的安全培训,并把安全问题进行了整理归纳,梳理出一个开发人员也能完成安全设计的STRIDE威胁分析方法。

    

什么是STRIDE?


                说明                                                           举例
S Spoofing(仿冒)的缩写

       随着智能终端的越来越普及,很多城市都开放了Wifi热点,比如周末陪女朋友去香港购物,女朋友去各大商场Shoping,我们这些研发丝们就可以找个咖啡馆使用免费的Wifi上网。

       有没有想过你所使用的Wifi热点有可能并不是香港政府提供的,而是黑客们搭建的(仿冒Wifi),目的在你傻呵呵地使用免费的行动午餐进行购物时,读取你手机的支付宝账号和密码。

T Tampering(篡改)的缩写

       尽管HTTPS或IPSec早已推出,但你会发现很多企业网站的访问依旧使用HTTP建立连接,众所周知HTTP连接并不安全,因为通过Sniffer工具可以嗅探到通信层的内容。

       比如你和你的小女朋友都使用微信,你通过手机发的信息都会经过腾讯服务器然后再到达你女朋友的手机终端,同理你女朋友通过手机发的信息也会经过腾讯服务器再到达你的手机终端。试想你本打算约女朋友在深圳香蜜湖吃饭,但黑客在你发向腾讯服务器的过程中把内容截获并篡改,改为约请你女朋友在福田星河Cocopark吃饭,然后把篡改后的内容再发向腾讯服务器,可以想像你女朋友在Cocopark左顾右盼的场景,亲,你就等着分手吧。

 j_0065.gif                                                                                               

R Repudiation(抵赖)的缩写

      这个好理解,所谓抵赖就是赖皮,你明明查看了女朋友手机中的内容,被女朋友发现后,你却始终说没有查看,这个过程就是抵赖。

      至于她会不会跟你分手,这就不是抵赖所负责的了,哈哈,所以两人相处关键就在于相信。

I Infromation Disclosure(信息泄露)的缩写

      在篡改的举例中说到黑客截取了你约女朋友吃饭的信息,这个就属于信息泄露,只不过篡改在信息泄露的基础上对信息进一步进行了篡改;

      另外,前段时间携程网暴露了用户的借记卡账号,本来属于携程网系统本身的信息,但由于打印日志没有做好权限管理,导致了携程用户的信息泄露。

D Denial of Service(拒绝服务)的缩写

      好容易与女朋友谈的八字有一撇了,准备十月一回家见父母,那咱们研发丝们得上12306买个票吧, 正在兴奋地刷票时,突然发现12306网站上不去了,同时在线刷票的用户太多,导致12306系统崩溃了,也就是说12306拒绝服务了,我勒了个去,这个恋爱谈的好曲折。

j_0062.gif

E Elevation of Privilege(权限提升)的缩写

       女朋友也谈上了,男人的财务要上交了吧,结果自己的银行借记卡及账号,以及女朋友本身的银行借记卡及账号都归她了,所以说做个好男人太难了。

       突然有一天你女朋友哭着告诉你,你的银行借记卡和她的银行借记卡都被别人盗了,本来她只需要掌握她的银行借记卡就行,那么即使被盗也只损失她的,不至于把你的也损失掉,这个就是典型的权限提升。

       女朋友的权限提升,从管理个人到管理两个人,一旦发生损失那就是两个人的损失。


今天够不走运的了,举了这么多女朋友的事,下一章节讨论如何使用Stride j_0011.gif




     本文转自qingkechina 51CTO博客,原文链接:http://blog.51cto.com/qingkechina/1555324,如需转载请自行联系原作者




相关文章
|
1月前
|
自然语言处理 安全 数据安全/隐私保护
不影响输出质量还能追踪溯源,大模型无偏水印入选ICLR 2024 Spotlight
【6月更文挑战第7天】研究人员提出了一种无偏水印技术,能在不降低大型语言模型(LLMs)输出质量的情况下实现追踪和归属。此方法被ICLR 2024选为Spotlight论文,保证水印不影响模型性能,保护知识产权,防止滥用。无偏水印的挑战包括设计无损模型质量的实现、有效检测及安全防范措施。[论文链接: https://openreview.net/pdf?id=uWVC5FVidc]
23 2
|
2月前
|
机器学习/深度学习 数据可视化 计算机视觉
YOLOv5改进 | Conv篇 | 利用DualConv二次创新C3提出一种轻量化结构(降低参数30W)
YOLOv5改进 | Conv篇 | 利用DualConv二次创新C3提出一种轻量化结构(降低参数30W)
238 1
|
2月前
|
机器学习/深度学习 计算机视觉
YOLOv5改进 | 2023 | SCConv空间和通道重构卷积(精细化检测,又轻量又提点)
YOLOv5改进 | 2023 | SCConv空间和通道重构卷积(精细化检测,又轻量又提点)
143 1
|
2月前
|
机器学习/深度学习 计算机视觉
YOLOv8改进 | 2023 | SCConv空间和通道重构卷积(精细化检测,又轻量又提点)
YOLOv8改进 | 2023 | SCConv空间和通道重构卷积(精细化检测,又轻量又提点)
141 0
|
2月前
|
算法 安全 vr&ar
BRC20铭文系统开发方案|详情模式
Web3.0还可以采用大数据分析技术,收集用户行为数据,并分析用户的偏好
|
机器学习/深度学习 数据可视化
CVPR2023 | 无需动态区域分割!多帧深度估计新进展:跨线索注意力机制提升动态区域精度
CVPR2023 | 无需动态区域分割!多帧深度估计新进展:跨线索注意力机制提升动态区域精度
317 0
|
编解码 数据可视化 前端开发
CVPR2020丨重新思考图像超分辨率的数据增强:综合分析和一个新的策略
从表3中可以看到,当使用了 CutBlur 对模型进行训练,模型在测试集上的性能得到了明显的提升,尤其是在 RealSR 数据集上,所有模型至少得到了0.22dB 的提升。而 CARN则能够在 RealSR测试集上达到 SOTA 性能(RCAN basline),性能与 LP-KPN近似,使用参数量仅为 LP-KPN 的22%。从图7也可以看到,残差强度图在使用 CutBlur 方法后得到误差明显的下降。
CVPR2020丨重新思考图像超分辨率的数据增强:综合分析和一个新的策略
|
机器学习/深度学习 数据采集 人工智能
推广TrustAI可信分析:通过提升数据质量来增强在ERNIE模型下性能
推广TrustAI可信分析:通过提升数据质量来增强在ERNIE模型下性能
推广TrustAI可信分析:通过提升数据质量来增强在ERNIE模型下性能
|
机器学习/深度学习 存储 编解码
兼顾图像超分辨率、图像再缩放,ETH提出新型统一框架HCFlow,已开源
来自苏黎世联邦理工学院计算机视觉实验室的研究者提出了一种统一框架 HCFlow,该框架可以同时处理图像超分辨率和图像再缩放,并在通用图像超分辨率、人脸图像超分辨率和图像再缩放上等任务上取得了最佳结果。该论文已被 ICCV2021 接收。
156 0
 兼顾图像超分辨率、图像再缩放,ETH提出新型统一框架HCFlow,已开源
ML之FE:基于自定义数据集(银行客户信息贷款和赔偿)对比实现特征衍生(手动设计新特征、利用featuretools工具实现自动特征生成)(一)
ML之FE:基于自定义数据集(银行客户信息贷款和赔偿)对比实现特征衍生(手动设计新特征、利用featuretools工具实现自动特征生成)(一)
ML之FE:基于自定义数据集(银行客户信息贷款和赔偿)对比实现特征衍生(手动设计新特征、利用featuretools工具实现自动特征生成)(一)