Threat моделин жана тобокелдиктерди көзөмөлдөө

1) Принциптер

1. Architectural First. Биз контексттерден, ишеним чектеринен жана маалымат агымынан баштайбыз.
2. Risk ≈ Likelihood × Impact. Биз өлчөйбүз, сезбейбиз.
3. Defense in Depth. Ар бир катмарда контролдоо: код → протокол → платформа → адамдар.
4. Shift Left/Right. Эрте PR + гейтс мониторинг жана продукт жооп.
5. Privacy by Design. Биз коопсуздукка гана эмес, купуялуулукка да коркунуч туудурат.
6. Automate Where Possible. Саясат катары код, autoprecks, "кызыл сызыктар".

2) Инвентаризация: активдер, субъекттер, ишеним чектери

Активдер: маалыматтар (PII, финансы, сырлар), эсептөө ресурстары, ачкычтар, жеткиликтүүлүк, бизнес-процесстер.
Субъекттер: колдонуучулар, кызматтар, администраторлор, өнөктөштөр, тышкы провайдерлер.
Ишеним чектери: колдонуучулар, фронт, фронт, API-шлюз, кызматтар, БД/кэш/кезек, региондор/булуттар.
Кол салуу бети: кирүү пункттары (API, Webhook, UI, тармактар, CI/CD, supply chain).

mermaid flowchart LR
U[Пользователь] -- TLS --> WAF[WAF/CDN]
WAF --> GW[API Gateway]
GW --> Svc[Service A]
Svc --> DB[(Postgres)]
Svc --> MQ[[Kafka]]
MQ --> SvcB[Service B]
subgraph Trust Boundary
GW; Svc; SvcB end

3) Коркунуч Frameworks

STRIDE (безопасность): Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege.
LINDDUN (приватность): Linkability, Identifiability, Non-repudiation, Detectability, Disclosure, Unawareness, Non-compliance.
PASTA (жараян): бизнес-максаттары жана коркунуч актерлору → техникалык маалымат → сыноо жагдайлар.

4) Тобокелдиктерди баалоо

DREAD/OWASP Тобокелдик Rating же CVSS аялуу үчүн.
Ыктымалдуулук (L): ниети/кол мүмкүнчүлүгү, татаалдыгы, бетинин таасири.
Таасири (I): каржы, юрриски, токтоп, PD агып.
Тобокелдик (R = L × I) → артыкчылык жана тритмент: Avoid/Reduce/Transfer/Accept.

Impact
Low Med High Critical
Lik Low  L  L  M   H
Med  L  M  H   H
High M  H  High  Crit

Тобокелдиктердин реестри (минималдуу талаалар): 'id, сценарий, STRIDE, актив, L, I, R, ээлери, контролдоолор, статус, кайра карап чыгуу күнү'.

5) Controls: Prevent/Detect/Respond

• Аутентификация/авторизация: OIDC/OAuth2, PoLP, RBAC/ABAC, кыска мөөнөттүү сервис-кред.
• Сырлар/ачкычтар: KMS/HSM, айлануу, "билбейм" принциби, FPE/талааларды шифрлөө.
• Коопсуз протоколдор: TLS1. 2 +, mTLS, вебхук кол тамгалары, демпотенттик жана анти-реплика.
• Валидация/санитария: схемалар (JSON Schema/Proto), лимиттер, нормалдаштыруу.
• Изоляция: тармактык саясат, сегменттөө, sandbox, namespaces, bulkheads.

• Аудит-логи (кайтарылгыс), SIEMдеги корелляция, аномалиядагы алерталар.
• Кол коюу жана бүтүндүк мониторинги (экспонаттардын хэштерин экспорттоо, аттестация).
• Honeytokens/канарейка эрте ачкыч ачкычын аныктоо үчүн.

• Runbook IR: классификация, изоляция, ачкычтарды чакыртып алуу, эскертүүлөр, форензия.
• Автоматтык kill-switch/feature-flag, "кара тизмеси" токендер.
• PD менен болгон окуяларда колдонуучуларга/жөнгө салуучуларга билдирүүлөр.

6) SDL жана коопсуздук Gates

Идея/дизайн: threat модели (RFC/ADR), чек тизмеси.
Иштеп чыгууда: SAST/secret-scan, көз каранды сканерлер (SCA), көз карандылык саясаты.
Жыйнакта: SBOM, артефакттардын кол тамгасы, алсыздык саясаты (CVSS босоголору).
Деплойдо: OPA/Kyverno - IaC/манифесттер саясаты (securityContext, тармактык саясатчылар, сырлардын ачылышы).
Жылы: IDS/WAF, anomaly detection, canary-текшерүү, башаламандык-коопсуздук (мисалы, мөөнөтү өтүп кеткен күбөлүк).

rego package policy.cicd deny[msg] {
some v input.sbom.vulns[v].cvss >= 7.0 msg:= sprintf("High vuln blocked: %s %s", [v.package, v.id])
}
deny[msg] {
input.k8s.pod.spec.securityContext.runAsRoot == true msg:= "RunAsRoot forbidden"
}

7) Supply Chain жана артефакттарга ишеним

ар бир сүрөт/топтому үчүн SBOM; көз карандылыкты жаңылоо - бот/саясат аркылуу.
SLSA/Provenance: ойнотулуучу жыйнактар, кол тамгалар, күбөлүктөр.
Контейнерлер: минималдуу сүрөттөр, rootless, drop capabilities, read-only FS.
IaC-сканерлер: Terraform/Helm - шифрлөө саясаты, ачык порттор, тармактык эрежелер.

8) Купуялык жана комплаенс

LINDDUN купуялыкка коркунуч карта, маалыматтар minimization, псевдонимизациялоо/анонимизациялоо.
Сактоо саясаты: TTL/retenshn, "алып салуу укугу", PD жетүү аудити.
Локализация: гео-чектөөлөр, "маалыматтар аймакта калат".
Ачык-айкындуулук: иштетүү журналдары, билдирүүлөр жана макулдук.

9) Булуттар жана периметрлер

Zero Trust: кызмат арасында ар бир суроо, mTLS/OPA аутентификация.
Сегментация: VPC/көмөкчордондор/SG, жеке пункттар, egress-control.
Keys/Secrets: KMS, айлануу, CI (OIDC-Киргизия) кыска кред.
Резерв/DR: шифрленген запастар, ачкычтар өзүнчө, калыбына келтирүү репетициялары.

10) Кызыл/кызгылт команда жана tabletop көнүгүүлөр

Red Team: коркунуч гипотезаларды текшерүү, коомдук инженерия, чынжыр иштетүү.
Purple Team: детекторлорду/алерттерди биргелешип оңдоо, IR playbook 'тарды жакшыртуу.
Tabletop: скрипт "күбөлөндүрүлгөн", "ачкычтар агып", "supply-chain компромисс". натыйжасы - такташты контролдоо жана метрика.

11) Жетилүү метрика жана башкаруу

Coverage: учурдагы threat модели жана DFD менен кызматтардын%.
MTTD/MTTR коопсуздук, көзөмөлгө алынган окуялар үлүшү.
CIде Policy pass-rate, критикалык кемчиликтерди жабуу убактысы.
Privacy:% TTL/ILM менен datasets, негиздемеси менен жеткиликтүүлүк үлүшү.
Аудит: тобокелдиктердин реестрин кайра кароонун ырааттуулугу (чейрек сайын).

12) Артефакттардын үлгүлөрү

12. 1 Тобокелдик картасы (мисал)

Risk ID: SEC-API-012
Сценарий: SSRF через изображение в профиле
STRIDE: Tampering/Info Disclosure
Актив: API / файловый прокси
Likelihood: High  Impact: High  Risk: Critical
Контроли: denylist схем, egress-прокси, URL-fetcher в изолированном рантайме,
DNS-resolv только через прокси, время/размер-лимиты, allowlist.
Владелец: team-accounts  Статус: Reduce (в работе)
Дата пересмотра: 2025-12-01

12. 2 Дизайн чек тизмеси

Активдер жана PII аныкталдыбы? Ишеним чектери белгиленди?
DFD/маалымат контурлары түзүлгөн жана ADR байланыштуу?
STRIDE/LINDDUN ар бир DFD жебе боюнча өттү?
Тобокелдик тритменти тандалды; ээлери/шарттары/DoD бар?
Саясат коду катары кошулду (OPA/Kyverno/CI-гейтс)?
Мониторинг планы/alertov жана IR-runbook жаңыртылган?
Privacy: минималдаштыруу, шифрлөө, TTL/retenshn, локалдаштыруу?

12. 3 Webhook саясаты (псевдокод)

python def verify_webhook(req, keys):
ts = int(req.h["X-Timestamp"])
if abs(now_utc()-ts) > 300: return 401 if not hmac_ok(req.body, ts, keys.active_or_prev(), req.h["X-Signature"]):
return 401 if replay_cache.seen(req.h["X-Event-ID"]): return 200
PoLP: в обработчике — только нужные скоупы handle(json.loads(req.body))
replay_cache.mark(req.h["X-Event-ID"])
return 200

13) Анти-үлгүлөрү

Threat модели DFD/инвариантсыз "үчүн".
"Супер-периметр" кызматтын ички аутентификациясы жок.
айлана-чөйрөнүн өзгөрмөлүү/репо узак мөөнөттүү сырлар.
Код → кол менен киргизилген эмес саясатчылар "унутулат".
PD менен жашырып жана retenshn/TTL жок.
кулак supply chain (жок SBOM/кол/сканер).
Тобокелдикти кабыл алуу (Accept) ээси жана кайра карап чыгуу күнү жок.

14) Процесстерге интеграция

RFC/ADR: ар бир маанилүү чечим "коркунучтар жана контролдоо" бөлүмүн камтыйт.
Docs-as-Code: threat model, DFD, коддун жанындагы нускасында тобокелдик реестри.
Release gates: релизи SAST/SCA/SBOM саясатынын ийгиликсиздиги же жогорку критикалык көзөмөлдүн жоктугу менен бөгөттөлгөн.
Окутуу: плейбуктар иштеп чыгуучулар үчүн (сырлар, кол тамгалар, PoLP), үзгүлтүксүз планшеттер.

Корутунду

Threat Modeling - бул бир жолу колдонулуучу документ эмес, тобокелдиктерди башкаруунун инженердик практикасы. Активдерди жана ишеним чектерин аныктаңыз, STRIDE/LINDDUN колдонуңуз, тобокелдикти өлчөңүз, аны реестрге киргизиңиз жана CI/CD жана эксплуатацияга интеграциялап, контролдоону код катары ишке ашырыңыз. Жетилүү көрсөткүчтөрү жана үзгүлтүксүз кайра карап чыгуу менен сиз коопсуздукту болжолдуу архитектуралык жөндөмдүүлүккө айландырасыз - түшүнүктүү баа, эффект жана ылдамдык менен.