SDL安全设计工具,一款支持多人协作实施威胁建模的微信小程序
楔子
痛点
威胁建模活动组织方法
道具
使用方法
要点
使用示例
多人
单人
Q&A
其他游戏
参考阅读
致谢
Shingle,音[ˈʃɪŋɡl],是世界上第一款(唯一?)用于安全威胁评估的微信小程序,方便团队开展STRIDE建模,支持项目向导、中英文以及多人协作。
对于任何安全工具的使用不要拘泥于现有的用法,本微信小程序并不是简单罗列安全评估的步骤要点,而是进一步研究安全的出发点和供这种研究使用的方法,甲方安全的不要有乙方思路。推行SDL的工作中必须考虑面临的实际情况、现实的确切事实,而不是抱住国内外某些公司的"最佳实践"观念不放(根本没有什么是"最佳实践"),只知道从公式、方法论出发、思想僵化,而不是从实际中具体情况具体分析,是做好不了安全设计的。从业务中来,到业务中去需要精心分析需求,然后把业务所不清楚的安全因素集中起来分析,问题找对了,办法就有了,然后为集中精力为业务赋能,把安全视为产品具备的基本属性,同业务方反复做宣传、解释,使业务学习-提升-学习,坚持下去,见之于行动,无限循环。
笔者越来意识到威胁建模不应当是安全专家闭门造车画出一系列DFD(数据流)图后,对业务人员拿出报告说:系统有XX威胁,会带来XX风险,这里有XX措施,解决他们!现代软件开发的威胁建模环节应当是敏捷和集成的,可以同其他团队建立协作共同实现安全。笔者联想到《威胁建模:交付和设计更安全的软件》书中提到的微软发明的纸牌"权限提升游戏"的思路,尝试开发出一套用于威胁建模的微信小程序为各位软件安全从业人员提供辅助,团队成员按照教程指引,可以方便实施威胁建模,回溯历史模型帮助设计、开发、测试人员思考系统在设计阶段会出现哪些问题,然后将重点资源聚焦在需要消减的威胁上,而不是被动等着渗透测试和安全审计,安全不是黑白盒测试出来的,是设计开发出来的。经常性的威胁建模可以锻炼信心,培养配合和技术的熟练度。线上线下结合评估的维度不会泄露企业敏感信息,可以放心使用小程序服务。
黑笔、白板、本微信小程序、会议纪要、笔记本、大脑
背景:假设企业要进行上云时的安全评估
打开微信小程序,花费几分钟进行一番评估,改进函数对外的暴露、对内调度的安全性,拥有了体系化防御的概念。
其实国外涉及安全的桌游有不少,如果能寓教于乐,我们的工作定会轻松不少。:)
CIA: Collect It All 这个游戏是一款基于CIA游戏Collection Deck的竞技纸牌游戏。玩家扮演的角色是收集情报并在多轮次序中处理安全威胁。每一轮开始时都会手上拿满智力战术,并且必须制定策略以成功化解各种危机。战术和危机都包含政治,军事,经济和武器方面。
Cyber Threat Defender(CTD)是一款多玩家可收集的纸牌游戏,旨在教授重要的网络安全信息和策略。无论技术水平如何,CTD都是一款易于玩耍,引人入胜的游戏。玩家必须保护自己免受攻击,同时建立强大的网络,成为真正的网络威胁防御者!
GAP,一款提高关于密码意识的游戏 是一篇论文,“探讨严肃游戏的潜力,教育用户了解对密码安全产生负面影响的各种功能。具体来说,我们设计了一款名为GAP的基于网络的休闲游戏并评估其影响通过与119名参与者进行比较用户研究。研究结果显示,参与GAP的参与者在识别不安全密码功能方面表现出比未玩GAP的参与者更好的表现。除了具有教育价值外,大多数参与者还发现GAP十分有趣“。
Operation Digital Chameleon:红队和蓝队制定攻击和防御策略,以探索关键基础架构的IT安全性,作为为期2天的IT安全培训的一部分。该游戏的目的是提高IT安全专家和IT专业人员(如CERT团队,CIO,风险经理,管理员)的IT安全意识。由Andreas Rieb开发。
owasp有个类似的项目cornucopia,叫做聚宝盆?本意象征丰饶,意象是哺育宙斯神的羊的角内呈现满溢的鲜花、水果等。访问是https://www.owasp.org/index.php/OWASP_Cornucopia,卡片也是13张,A-K,此外还有大小王,内容主要来源是安全编码实践,包括数据校验和编码、认证、会话管理、授权、加密、其他。
国内的关于威胁建模的实践不多,大厂又不愿献宝,adam的书《威胁建模:设计和交付更安全的软件》只有第二、三、四、七、十一、十七章节可读,其他章节可以不看。我认可推荐的材料是:
感谢Darrick、″ `мч'|哆、他们制作的scrum敏捷项目主框架对我帮助很大;感谢星空与飞鸟,他参与了大量内测并提出了重要的改进建议,感谢淡蓝色的忧伤帮我定位到功能缺陷。