GH GambleHub

דוגמנות איום ובקרת סיכון

1) עקרונות

1. ארכיטקטורה ראשונה. נתחיל בהקשרים, גבולות אמון וזרימת נתונים.
2. סיכון סבירות × פגיעה. אנחנו מודדים, לא מרגישים.
3. הגנה בעומק. בקרה על כל שכבה: פרוטוקול procode # Pלטפורמה = = אנשים.
4. הזז שמאלה/ימינה. שערים מוקדמים ביחסי ציבור + ניטור ותגובה בדרבן.
5. פרטיות לפי עיצוב. אנחנו מדמים לא רק איומים ביטחוניים, אלא גם סיכוני פרטיות.
6. אוטומטי איפה שאפשר. מדיניות כקוד, בדיקה אוטומטית, ”קווים אדומים”.

2) מלאי: נכסים, ישויות, גבולות אמון

נכסים: נתונים (PII, פיננסים, סודות), משאבי מחשוב, מפתחות, גישה, תהליכים עסקיים.
נושאים: משתמשים, שירותים, מנהלים, שותפים, ספקים חיצוניים.
גבולות אמון: משתמשים ↔ קדמי, קדמי ↔ שער API, שירותים ↔ מסדי נתונים/מטמונים/תורים, אזורים/עננים.
משטח התקפה: נקודות קלט (API, hooks, UI, רשתות, CI/CD, שרשרת אספקה).

DFD (דוגמה, בתולת ים): 
mermaid flowchart LR
U[Пользователь] -- TLS --> WAF[WAF/CDN]
WAF --> GW[API Gateway]
GW --> Svc[Service A]
Svc --> DB[(Postgres)]
Svc --> MQ[[Kafka]]
MQ --> SvcB[Service B]
subgraph Trust Boundary
GW; Svc; SvcB end

3) מסגרות איום

STRIDE (ראשי תיבות: Spoffing, Tampering, Repudiation, Information Displosure).
LINDUN (ראשי תיבות של Linkability, Identifiability, Non-Refectability, Detectability, Discovery, Unaudity, Non-Action.
(PASTA (Process: מתוך מטרות עסקיות ושחקני איום = פרטים טכניים = תרחישי מבחן.

טבלה (שבר, STRIDE × רכיבים):
רכיבSTRאניDEבקרה
שער APIMTLS/OIDC, WAF, קצב מוגבל, ביקורת, HSTS
קפקאאזעקות, אירועים חתומים, מכסות, DLQs
PostgresTLS, RLS, KMS, נדידה עם אימות

4) הערכת סיכונים

דירוג סיכון DREAD/OWASP או CVSS עבור נקודות תורפה.
הסתברות (L): המניע/יכולות של התוקף, מורכבות, חשיפה לפני השטח.
השפעה (אני): פיננסים, סיכונים משפטיים, השבתה, דליפות PD.
סיכון (R = L × I) = עדיפות וטריטמנט: הימנע/להפחית/להעביר/לקבל.

מטריצה (דוגמה): 

Impact
Low Med High Critical
Lik Low  L  L  M   H
Med  L  M  H   H
High M  H  High  Crit

רשימת סיכונים (שדות מינימליים): 'ID, תרחיש, STRIDE, נכס, L, I, R, בעלים, בקרות, סטטוס, עדכון תאריך'.

5) בקרה: למנוע/לזהות/להגיב

מניעה:
  • אימות/אישור: OIDC/OAuth2, POLP, RBAC/ABAC, נקודות שירות קצרות טווח.
  • סודות/מפתחות: KMS/HSM, סיבוב, לא יודע, הצפנת FPE/שדה.
  • פרוטוקולים מאובטחים: TLS1. 2 +, MTLS, חתימות webhook, idempotency, ו-anti-replay.
  • אימות/תברואה: תוכניות (JSON Schema/Proto), גבולות, נורמליזציה.
  • בידוד: מדיניות רשת, קטעים, ארגז חול, מנות שם, מחיצות.
זיהוי:
  • רישומי ביקורת (בלתי ניתנים לזיהוי), מתאם ב-SIEM, התראות לסטיות.
  • ניטור חתימה ויושרה (ייצוא של חשיש חפץ, התרשמות).
  • הדבש/קנריות לזיהוי דליפת מפתח מוקדם.
תגובה:
  • סיווג, בידוד, החזרת מפתח, התראות, זיהוי פלילי.
  • מתג הריגה אוטומטי/דגל תכונה, ”רשימות שחורות” של אסימונים.
  • הודעות של משתמשים/רגולטורים במקרה של תקריות פ "ד.

6) SDL ושערי אבטחה

ברעיון/עיצוב: מודל איום (RFC/ADR), רשימת בקרות.
בפיתוח: SAST/סריקה סודית, סריקות תלות (SCA), מדיניות תלות.
בהרכבה: SBOM, חתימת חפץ, מדיניות פגיעות (סף CVSS).
בתחום: OPA/Kyverno - IaC/Exprest policy ( Contestment, מדיניות רשת, העברה סודית).
במכירות: IDS/WAF, גילוי אנומליה, בדיקות כנרית, אבטחת כאוס (לדוגמה, תעודה שפגה).

דוגמה לשער (מדיניות כקוד, פסאודו-רגו): 
rego package policy.cicd deny[msg] {
some v input.sbom.vulns[v].cvss >= 7.0 msg:= sprintf("High vuln blocked: %s %s", [v.package, v.id])
}
deny[msg] {
input.k8s.pod.spec.securityContext.runAsRoot == true msg:= "RunAsRoot forbidden"
}

7) שרשרת אספקה ואמון בחפצים

SBOM לכל תמונה/חבילה; עדכוני תלות באמצעות בוט/מדיניות.
SLSA/Provenance: אספות רבייה, חתימות, התרשמות.
מכולות: תמונות מינימליות, ללא שורשים, יכולות טיפה, FS קריאה בלבד.
סריקות: Terraform/Helm - מדיניות הצפנה, נמלים פתוחים, כללי רשת.

8) פרטיות וציות

LINDDUN-מפת איומי פרטיות, מזעור נתונים, פסאודונימיזציה/אנונימיזציה.
מדיניות שימור: TTL/reservation, ”זכות למחוק”, ביקורת על הגישה למשטרה.
לוקליזציה: גיאו-מגבלות, ”נתונים נשארים באזור”.
שקיפות: עיבוד, הודעה ויומני הסכמה.

9) עננים והיקפים

אפס אמון: אימות של כל בקשה, mTLS/OPA בין שירותים.
סגמנט: VPC/תת רשת/SG, נקודות קצה פרטיות, בקרת יציאה.
מפתחות/סודות: KMS, סיבוב, קרדיטים קצרים בפדרציית CI (OIDC).
גיבויים מוצפנים, מפתחות בנפרד, חזרות התאוששות.

10) צוותים אדומים/סגולים ותרגילי שולחן

בדיקת השערת איום, הנדסה חברתית, ניצול שרשרת.
צוות סגול: דיבוג משותף של איתור/התראות, שיפור ספרי משחק IR.
טבלופ: תסריטים ”תעודת פג תוקף”, ”מפתחות דלפו”, ”פשרת שרשרת אספקה”. "התוצאה היא בקרות ומדדים מעודכנים.

11) מדדי בגרות וניהול

כיסוי:% מהשירותים עם מודל האיום הנוכחי ו-DFD.
בטיחות MTTD/MTTR, פרופורציה של תקריות שנתפסו על ידי בקרה.
מדיניות לעבור שיעור במודיעה, זמן לסגור נקודות תורפה על ידי ביקורתיות.
פרטיות:% מהנתונים עם TTL/ILM, חולקים גישה עם הצדקה.
ביקורת: סדירות של תיקוני רישום סיכונים (רבעון).

12) תבניות חפץ

12. כרטיס סיכון 1 (דוגמה)


Risk ID: SEC-API-012
Сценарий: SSRF через изображение в профиле
STRIDE: Tampering/Info Disclosure
Актив: API / файловый прокси
Likelihood: High  Impact: High  Risk: Critical
Контроли: denylist схем, egress-прокси, URL-fetcher в изолированном рантайме,
DNS-resolv только через прокси, время/размер-лимиты, allowlist.
Владелец: team-accounts  Статус: Reduce (в работе)
Дата пересмотра: 2025-12-01

12. 2 רשימת בדיקות עיצוב

נכסים ומח "ש מזוהים? גבולות אמון מסומנים?
האם לולאות DFDs/Data מורכבות וממופות ל-ADRs?
STRIDE/LINDUN חצה כל חץ DFD?
Tritation סיכון נבחר; יש לך בעלים/מועדים/משרד ההגנה?
מדיניות כקוד נוסף (שערים OPA/Kyverno/CI)?
תוכנית ניטור/התראות ו אינפרא-רישום מעודכן?
פרטיות: מזעור, הצפנה, TTL/שימור, לוקליזציה?

12. 3 מדיניות Webhook (פסאודוקודה)

python def verify_webhook(req, keys):
ts = int(req.h["X-Timestamp"])
if abs(now_utc()-ts) > 300: return 401 if not hmac_ok(req.body, ts, keys.active_or_prev(), req.h["X-Signature"]):
return 401 if replay_cache.seen(req.h["X-Event-ID"]): return 200
PoLP: в обработчике — только нужные скоупы handle(json.loads(req.body))
replay_cache.mark(req.h["X-Event-ID"])
return 200

13) אנטי דפוסים

מודל איום ”לתצוגה” ללא DFD/invariants.
”סופר היקפי” ללא אימות שירות פנימי.
סודות ארוכי חיים בסביבה/עוצרים משתנים.
מדיניות לא מוטבעת כמדריך ”נשכח”.
יומנים עם PD ללא הסוואה וללא שימור/TTL.
התעלמות משרשרת אספקה (אין SBOM/חתימות/סריקות).
קבל ללא בעלים ותאריך תיקון.

14) אינטגרציה בתהליכים

RFC/ADR - כל פתרון משמעותי מכיל סעיף איומים ושליטה.
Docs-as-Code: מודל איום, DFD, רישום סיכונים בגרסה ליד הקוד.
שערי שחרור: השחרור חסום כאשר מדיניות SAST/SCA/SBOM נכשלת או בקרת חומרה גבוהה חסרה.
הדרכה: ספרי משחק למפתחים (סודות, חתימות, PoLP), שולחן רגיל.

מסקנה

מודל איום הוא מנהג הנדסי של ניהול סיכונים, לא מסמך חד פעמי. הגדרת נכסים וגבולות אמון, יישום STRIDE/LINDDUN, מדידת סיכון, רישומו, ויישום בקרות כקוד על ידי הטבעתם ב CI/CD ותפעול. עם מדידות בגרות ושינויים קבועים, תהפוך את הבטיחות ליכולת אדריכלית צפויה - עם מחיר מובן, אפקט ומהירות.

Contact

צרו קשר

פנו אלינו בכל שאלה או צורך בתמיכה.אנחנו תמיד כאן כדי לעזור.

התחלת אינטגרציה

Email הוא חובה. Telegram או WhatsApp — אופציונליים.

השם שלכם לא חובה
Email לא חובה
נושא לא חובה
הודעה לא חובה
Telegram לא חובה
@
אם תציינו Telegram — נענה גם שם, בנוסף ל-Email.
WhatsApp לא חובה
פורמט: קידומת מדינה ומספר (לדוגמה, +972XXXXXXXXX).

בלחיצה על הכפתור אתם מסכימים לעיבוד הנתונים שלכם.