Threat Modeling-ը և ռիսկերի վերահսկումը
1) Սկզբունքներ
1. Architectural First. Սկսում ենք համատեքստերից, վստահության սահմաններից և տվյալների հոսքերից։
2. Risk ≈ Likelihood × Impact. Մենք չափում ենք, ոչ թե զգում։
3. Defense in Depth. Մենք վերահսկում էինք յուրաքանչյուր շերտի վրա ՝ ծածկագիրը wwww.ru արձանագրություն է։
4. Shift Left/Right. Վաղ խաղերը PR +-ում և վաճառքում արձագանքը։
5. Privacy by Design. Մենք մոդելավորում ենք ոչ միայն անվտանգության վտանգները, այլ նաև գաղտնիության ռիսկերը։
6. Automate Where Possible. Քաղաքական գործիչները որպես կոդ, ավտոմեքենաները, «կարմիր գծերը»։
2) Բուլգարիզացիա ՝ ակտիվներ, սուբյեկտներ, վստահության սահմաններ։
Ակտիվներ ՝ տվյալներ (PII, ֆինանսներ, գաղտնիքներ), հաշվարկային ռեսուրսներ, բանալիներ, հասանելի, բիզնես գործընթացներ։
Առարկաները ՝ օգտագործողներ, ծառայություններ, գործընկերներ, արտաքին պրովայդերներ։
Վստահության սահմանները ՝ օգտագործողները ռուսական ռազմաճակատի, ռուսական API-դարպասի ռազմաճակատի, BD/kashi/հերթերի, տարածաշրջանների/ամպերի ծառայություններ։
Հարձակման մակերեսը ՝ մուտքային կետեր (API, webhuki, UI, ցանցեր, CI/CD, supply chain)։
DFD (օրինակ, Mermaid)
mermaid flowchart LR
U[Пользователь] -- TLS --> WAF[WAF/CDN]
WAF --> GW[API Gateway]
GW --> Svc[Service A]
Svc --> DB[(Postgres)]
Svc --> MQ[[Kafka]]
MQ --> SvcB[Service B]
subgraph Trust Boundary
GW; Svc; SvcB end3) Ֆրայմվորկայի սպառնալիքները
STRIDE (безопасность): Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege.
LINDDUN (приватность): Linkability, Identifiability, Non-repudiation, Detectability, Disclosure, Unawareness, Non-compliance.
PASTA (գործընթացը) 'բիզնեսի նպատակներից և սպառնալիքների ակցիաներից, որոնք բացատրում են տեխնոլոգիական մանրամասները ռուսական թեստային սցենարները։
Մոսկվան (հատված, STRIDE ռուսական բաղադրիչներ)
4) Ռիսկերի գնահատում
DREAD/OWASP Risk Rating կամ CVSA խոցելիության համար։
Հավանականությունը (L) 'շարժառիթը/հարձակվողի հնարավորությունները, բարդությունը, մակերեսի էքսպոզիան։
Ազդեցությունը (I) 'ֆինանսներ, յուրիսներ, հոսանքներ, ՊԴ արտահոսքեր։
Ռիսկը (R = L 35I) բացատրում է գերակայությունը և տրիտմենտը ՝ Avoid/Reduce/Transfer/Accept։
Մատրիցա (օրինակ)
Impact
Low Med High Critical
Lik Low L L M H
Med L M H H
High M H High CritՌիսկերի գրանցումը (նվազագույն դաշտերը) '«id, սցենարը, STRIDE, 108, L, I, R, սեփականատերերը, վերահսկեցին, կարգավիճակը, վերանայման ամսաթիվը»։
5) Վերահսկել ՝ Corvent/Detault/Respond
Systvent (կանխումը)
Վավերացում/հեղինակացում ՝ OIDC/Outh2, PoLP, RBAC/ABAC, կարճ ժամանակահատվածի ծառայություն։
Գաղտնիքները/բանալիները ՝ KFC/HSM, ռոտացիան, սկզբունքը «չիմանալ», FOX/դաշտերի կոդավորումը։
Անվտանգ արձանագրություններ ՝ TLS1։ 2 +, mTSA, Webhuks ստորագրություններ, impotention և anti-replay։
Վալիդացիա/բուլգարիա 'սխեմաներ (JSON Schema/Delo), լիմիտներ, նորմալացում։
Մեկուսացում ՝ policies, սեգմենացիա, sandbox, namespaces, bulkheads։
Detault (հայտնաբերում)
Աուդիտ-լոգները (ոչ ռեզոնանսավորված), կորլացիան SIEM-ում, ալտերտերը անոմալիայի վրա։
Ստորագրությունների և ամբողջականության իրականացումը (հեշի արտեֆակտների արտահանումը, attestation)։
Honeytokens/canaraks արտահոսքի վաղ մանկատան համար։
Respond (արձագանք)
Runbook IR: Դասակարգում, մեկուսացում, հղում, նախազգուշացում, ֆորենզիկա։
Ավտոմատ kill-switch/feature-flag, հոսքերի «սև ցուցակները»։
Օգտագործողների/կարգավորիչների ծանուցումները PD-ի հետ։
6) RPL և անվտանգության խաղացողներ
Գաղափարի/դիզայնի մեջ 'threat model (RFC/ADR), վերահսկման թուղթ։
Զարգացման մեջ 'SFC/secret-scan, կախովի ժայռեր (SCA), կախվածության քաղաքականություն։
Հավաքման մեջ 'SBSA, արտեֆակտների ստորագրությունը, խոցելիության քաղաքականությունը (CVIII շեմն)։
Դե, OPA/Kyverno-ը IaC/մանիֆեստների քաղաքականությունն է (wwww.Ext, ցանցային քաղաքականություններ, գաղտնիքների փորձարկում)։
Վաճառքում 'IDS/WAF, anomaly detae, canary-ստուգումներ, քաոս անվտանգություն (օրինակ, ավարտված վկայագիր)։
Gate (Policy as Code, կեղծ-Rego)։
rego package policy.cicd deny[msg] {
some v input.sbom.vulns[v].cvss >= 7.0 msg:= sprintf("High vuln blocked: %s %s", [v.package, v.id])
}
deny[msg] {
input.k8s.pod.spec.securityContext.runAsRoot == true msg:= "RunAsRoot forbidden"
}7) Supply Chain-ը և վստահությունը արտեֆակտների նկատմամբ
SBSA-ը յուրաքանչյուր պատկերի/փաթեթավորման վրա։ կախվածության նորարարությունը բոտի/քաղաքականության միջոցով է։
SLAST/Provena.ru 'վերարտադրված հավաքումներ, ստորագրություններ, attest.ru։
Բեռնարկղերը ՝ նվազագույն պատկերներ, rootless, drop capabilities, read-only FS։
IaC-սկանները ՝ Terraform/Helm-ը ծածկագրման, բաց պորտերի, ցանցային կանոնների քաղաքականություն է։
8) Գաղտնիությունը և կոմպլենսը
LINDUN գաղտնիության սպառնալիքների քարտեզը, minimization, կեղծանունացում/անանուն։
Պահեստավորման քաղաքականությունները ՝ TTL/retenshn, «հեռացման իրավունք», PD հասանելիության աուդիտ։
Տեղայնացումը 'գեո սահմանափակումներ, «տվյալները մնում են տարածաշրջանում»։
Թափանցելիությունը 'մշակման, ծանուցումների և համաձայնության ամսագրեր։
9) Ամպերը և պարիմետրերը
Zero Trust 'յուրաքանչյուր հարցման վավերացում, mTSA/OPA ծառայությունների միջև։
Սեգմենտացիան ՝ MSC/ենթաօրենսդրություն/SG, մասնավոր էնդպոինտա, egress վերահսկողություն։
Բանալիներ/գաղտնիքներ ՝ KFC, rotation, կարճ CI (OIDC ֆեդեգրաֆիա)։
Պահուստը/DR 'գաղտնագրված bakaps, բանալիներ առանձին, վերականգնման փորձեր։
10) Կարմիր/մանուշակագույն թիմեր և tabletop վարժություններ
Red Team 'սպառնալիքների, սոցիալական ճարտարագիտության, շղթաների վիրահատության ստուգում։
Purple Team-ը 'դետեկտների/ալերտների համատեղ կարգաբերումը, IR-ի playbook բարելավումը։
Tabletop: սցենարները «հավաստագրություն», «արտահոսքը», «supply-chain փոխզիջումը»։ Արդյունքը նորարարված վերահսկումն ու մետրերն են։
11) Հասունության և կառավարման մետրերը
Coverage: ծառայությունների տոկոսը համապատասխան threat model և DFD-ի հետ։
MTTD/MTTR անվտանգությունը, կառավարությունների կողմից բռնված միգրանցների մասը։
Policy pass-rate-ում CI-ում, խոցելիության փակման ժամանակը։
Գաղտնիությունը 'Թվասետների տոկոսը TTL/ILM-ից, հասանելի է։
Աուդիտ 'ռիսկերային ռիսկերի վերանայման արդյունավետությունը (եռամսյակային)։
12) Արտեֆակտների օրինակները
12. 1 Ռիսկի քարտ (օրինակ)
Risk ID: SEC-API-012
Сценарий: SSRF через изображение в профиле
STRIDE: Tampering/Info Disclosure
Актив: API / файловый прокси
Likelihood: High Impact: High Risk: Critical
Контроли: denylist схем, egress-прокси, URL-fetcher в изолированном рантайме,
DNS-resolv только через прокси, время/размер-лимиты, allowlist.
Владелец: team-accounts Статус: Reduce (в работе)
Дата пересмотра: 2025-12-0112. 2 Դիզայնի թուղթ
Նույնականացված են ակտիվները և PII-ը։ Վստահության սահմանները նշված են։
DFD/տվյալների ուրվագծերը կազմված և կապված են ADR-ի հետ։
STRIDE/LINDDUN-ը յուրաքանչյուր DFD սլաքի վրա է։
Քաղաքական գործիչները ինչպե՞ ս ավելացրին կոդը (OPA/Kyverno/CI-gats)։
/ ալերտների և IR-runbook-ի մոնիտորինգի պլանը նորարարված է։
Ընտրվել է ռիսկի տրիտմենտը։ կան սեփականատերեր/ժամկետներ/DoD?
Privacy: Նվազեցում, ծածկագրում, TTL/retenshn, տեղայնացում։
12. 3 Ուեբհուկի քաղաքականությունը (կեղծ)
python def verify_webhook(req, keys):
ts = int(req.h["X-Timestamp"])
if abs(now_utc()-ts) > 300: return 401 if not hmac_ok(req.body, ts, keys.active_or_prev(), req.h["X-Signature"]):
return 401 if replay_cache.seen(req.h["X-Event-ID"]): return 200
PoLP: в обработчике — только нужные скоупы handle(json.loads(req.body))
replay_cache.mark(req.h["X-Event-ID"])
return 20013) Anti-patterna
Threat model «վագոնի համար» առանց DFD/invariants։
«Super-պարիմետրը» առանց ներքին տեղեկատվական-k-ծառայության։
Երկար գոյատևող գաղտնիքները փոփոխական միջավայրերում/ռեպո։
Քաղաքական գործիչները, որոնք չեն ներդրվել որպես կոդ, «մոռանում են»։
Լոգները PD-ից առանց դիմահարդարման և առանց ռետենշնի/TTL-ի։
Անտեսելով supply chain (ոչ SBSA/ստորագրություններ/սկաններ)։
Ռիսկի ընդունումը (Accept) առանց սեփականատիրոջ և վերանայման ամսաթվի։
14) Ինտեգրումը գործընթացներին
RFC/ADR: Յուրաքանչյուր կարևոր լուծում պարունակում է «Սպառնալիքներ և վերահսկում» բաժինը։
Docs-as-Code: threat model, DFD, ռիսկերների գրանցում կոդի մոտ։
Releultgates: Թողարկումը արգելափակված է SFC/SCA/SBSA քաղաքական կամ բացակայում բարձր քննադատության վերահսկումներով։
Ուսուցում 'մշակողների պլեյբուսներ (գաղտնիքներ, ստորագրություններ, PoLP), ռուսական tabletop։
Եզրակացություն
Threat Modeling-ը ձեռնարկության կառավարման ինժեներական պրակտիկա է, ոչ թե միանգամյա։ Վստահության ակտիվների և սահմանների իրականացումը, կիրառեք STRIDE/LINDUN-ը, չափեք ռիսկը, տեղադրեք այն գրանցամատյանում և կառավարեք որպես կոդ, տեղադրելով դրանք CI/CD և կոդերում։ Հասունության և ստացիոնար վերանայման մետրերով դուք կդարձնեք անվտանգությունը կանխատեսելի ճարտարապետական ունակության 'հասկանալի գնով, էֆեկտով և արագությամբ։