|
Tahdidlar va hujumlar tasnifi (STRIDE)
|
| bet | 7/9 | | Sana | 25.01.2023 | | Hajmi | 20.24 Kb. | | #39369 |
Bog'liq Operatsion tizimlar Ma’ruza 5 Operatsion tizim va tarmoqlarning -hozir.orgTahdidlar va hujumlar tasnifi (STRIDE)
Microsoft STRIDE formulasidan foydalanib, tahdid va hujumlarni tasniflashni taklif qiladi:
Spoofing - harflar: parodiya, pranking - ma'lum bir foydalanuvchi uchun "soxta"; masalan, foydalanuvchining haqiqiyligini tasdiqlaydigan operatsiyani takrorlash.
Tampering - hujum uchun ma'lumotlarni ruxsatsiz o'zgartirish; masalan, yangi foydalanuvchi qo'shish uchun autentifikatsiya fayllarini o'zgartirish.
Repudiation - tom ma'noda qat'iyan kelishmovchilikni, rad etishni, rad etishni anglatadi - xavfsizlik buzilishiga olib kelishi mumkin bo'lgan xatti-harakatlar tizimida qayd etilmasligi.
Operatsion tizimda driver xavfsizlikni buzishga olib keladigan biror holatni qayd qilmasa, rad etish xavfi tug'ilishi mumkin. Masalan, fokusni o'zgartirish va rasm hajmini kamaytirish uchun so'rovlarni qabul qilmaydigan video qurilma drayveri (bu tasvir buzilishiga olib kelishi mumkin).
Information disclosure - maxfiy ma'lumotlarga ruxsatsiz kirish; Masalan: Bank mijozlarining kredit kartalari raqamlari ro'yxatini olish.
Denial of service - xizmatni rad etish; masalan: xesh algoritmining kamchiliklaridan foydalanib, protsessorni haddan tashqari yuklanish ta'siriga ataylab erishish.
Elevation of privilege - Imtiyozlarni oshirish (tizim ma'muri huquqlarini ruxsatsiz berish). Misol: buyruqlaringizni bajarish uchun imtiyozli dasturni ishga tushirish.
Dasturiy hujumlarni baholash
Tashqi hujumlarni baholash uchun yana bir formula – DREAD tavsiya etiladi:
Damage – hujum natijasida yetkazilgan zarar.
Reproducibility – Hujumning takrorlanishi: u qanchalik tez-tez sodir bo'ladi va uni takrorlash mumkin.
Exploitability – bu yerda: malaka (daraja); hujum uchun zarur bo'lgan tajriba va malaka (xakerning).
|
| |
