- Văn bản
- Lịch sử
3.1.3 General Threat Modelling Meth
3.1.3 General Threat Modelling Methodologies
STRIDE is not the only risk assessment methodology. Three common types of approaches exist: Asset-centric, attacker-centric, and software-centric. Asset-centric focusses on sensitive data, information or hardware, which needs to be protected. For each asset, the damaging methods and the overall impact of a loss are evaluated. STRIDE can be extended with DREAD (Damage, Reproducibility, Exploitability, Affected Users, Discoverability) to gauge the potential chance or extent of an attack. Similarly, the Common Vulnerability Scoring System (CVSS) [66], an industry standard to rate and assess the potential of a security vulnerability, can be utilised to prioritise and identify security issues for individual assets. However, these models are not part of the scope of the thesis as they classify security priority and company loss, which is not relevant for theoretical frameworks, such as the model established in the previous chapter. The attack-centric method humanises, categorises attackers into several personalities (e.g the ”Script Kiddie” or ”Agent”) and estimates their capabilities in the current system. According to these capabilities, prevention methods are developed and applied. This approach is less concerned about the technical intricacies of the relevant system and more about the damage potential and risk of varyingly professional attackers. The software-centric approach is the most suitable methodology, as it disassembles the system into single interworking mechanisms, actors, dependencies, and trust boundaries. The software defined network can be interpreted as a large operating system structure and thus the software-centric model can aptly analyse and highlight potential vulnerabilities. Instead of DFDs, the software architecture can also be decomposed into UML diagrams, state-charts or Petri nets. Ariss, Wu, and Xu, 2011 [67] presented an approach to integrate attack trees into state charts to visualise the insecure state of a system. Nevertheless, these approaches are likely more suitable for software systems with processes and varying system states and not fluid, interaction-based structures as in SDN. The thesis OpenFlow - A Security Analysis [63] discusses further methodologies for threat modelling and presents extensions to already existing models.
STRIDE is not the only risk assessment methodology. Three common types of approaches exist: Asset-centric, attacker-centric, and software-centric. Asset-centric focusses on sensitive data, information or hardware, which needs to be protected. For each asset, the damaging methods and the overall impact of a loss are evaluated. STRIDE can be extended with DREAD (Damage, Reproducibility, Exploitability, Affected Users, Discoverability) to gauge the potential chance or extent of an attack. Similarly, the Common Vulnerability Scoring System (CVSS) [66], an industry standard to rate and assess the potential of a security vulnerability, can be utilised to prioritise and identify security issues for individual assets. However, these models are not part of the scope of the thesis as they classify security priority and company loss, which is not relevant for theoretical frameworks, such as the model established in the previous chapter. The attack-centric method humanises, categorises attackers into several personalities (e.g the ”Script Kiddie” or ”Agent”) and estimates their capabilities in the current system. According to these capabilities, prevention methods are developed and applied. This approach is less concerned about the technical intricacies of the relevant system and more about the damage potential and risk of varyingly professional attackers. The software-centric approach is the most suitable methodology, as it disassembles the system into single interworking mechanisms, actors, dependencies, and trust boundaries. The software defined network can be interpreted as a large operating system structure and thus the software-centric model can aptly analyse and highlight potential vulnerabilities. Instead of DFDs, the software architecture can also be decomposed into UML diagrams, state-charts or Petri nets. Ariss, Wu, and Xu, 2011 [67] presented an approach to integrate attack trees into state charts to visualise the insecure state of a system. Nevertheless, these approaches are likely more suitable for software systems with processes and varying system states and not fluid, interaction-based structures as in SDN. The thesis OpenFlow - A Security Analysis [63] discusses further methodologies for threat modelling and presents extensions to already existing models.
0/5000
3.1.3 mối đe dọa Tổng mô hình phương phápSTRIDE is not the only risk assessment methodology. Three common types of approaches exist: Asset-centric, attacker-centric, and software-centric. Asset-centric focusses on sensitive data, information or hardware, which needs to be protected. For each asset, the damaging methods and the overall impact of a loss are evaluated. STRIDE can be extended with DREAD (Damage, Reproducibility, Exploitability, Affected Users, Discoverability) to gauge the potential chance or extent of an attack. Similarly, the Common Vulnerability Scoring System (CVSS) [66], an industry standard to rate and assess the potential of a security vulnerability, can be utilised to prioritise and identify security issues for individual assets. However, these models are not part of the scope of the thesis as they classify security priority and company loss, which is not relevant for theoretical frameworks, such as the model established in the previous chapter. The attack-centric method humanises, categorises attackers into several personalities (e.g the ”Script Kiddie” or ”Agent”) and estimates their capabilities in the current system. According to these capabilities, prevention methods are developed and applied. This approach is less concerned about the technical intricacies of the relevant system and more about the damage potential and risk of varyingly professional attackers. The software-centric approach is the most suitable methodology, as it disassembles the system into single interworking mechanisms, actors, dependencies, and trust boundaries. The software defined network can be interpreted as a large operating system structure and thus the software-centric model can aptly analyse and highlight potential vulnerabilities. Instead of DFDs, the software architecture can also be decomposed into UML diagrams, state-charts or Petri nets. Ariss, Wu, and Xu, 2011 [67] presented an approach to integrate attack trees into state charts to visualise the insecure state of a system. Nevertheless, these approaches are likely more suitable for software systems with processes and varying system states and not fluid, interaction-based structures as in SDN. The thesis OpenFlow - A Security Analysis [63] discusses further methodologies for threat modelling and presents extensions to already existing models.
đang được dịch, vui lòng đợi..
3.1.3 Mối đe dọa chung Modelling phương pháp
Stride không phải là phương pháp đánh giá rủi ro duy nhất. Ba loại phổ biến của phương pháp tồn tại: Asset-centric, kẻ tấn công trung tâm, và phần mềm trung tâm. Asset-centric focusses trên nhạy cảm dữ liệu, thông tin hoặc phần cứng, mà cần phải được bảo vệ. Đối với mỗi tài sản, các phương pháp gây thiệt hại và tác động tổng thể của một tổn thất được đánh giá. Stride có thể được mở rộng với OAI (Damage, lặp lại, năng khai thác, người dùng bị ảnh hưởng, Discoverability) để đánh giá các cơ hội tiềm năng hoặc mức độ của một cuộc tấn công. Tương tự như vậy, các tổn thương thường gặp Scoring System (CVSS) [66], một chuẩn công nghiệp để đánh giá và đánh giá tiềm năng về một lỗ hổng bảo mật, có thể được sử dụng để ưu tiên và xác định các vấn đề an ninh cho tài sản cá nhân. Tuy nhiên, các mô hình này không phải là một phần của phạm vi của luận án là họ phân loại ưu tiên an ninh và mất công ty, đó là không có liên quan cho các khuôn khổ lý thuyết, chẳng hạn như các mô hình thành lập trong các chương trước. Các phương pháp tấn công trung tâm humanises, phân loại các kẻ tấn công vào một số nhân (ví dụ như "Script Kiddie" hay "đại lý") và ước tính khả năng của mình trong hệ thống hiện tại. Theo những khả năng, phương pháp phòng ngừa được phát triển và áp dụng. Cách tiếp cận này là ít quan tâm đến những phức tạp kỹ thuật của các hệ thống có liên quan và nhiều hơn nữa về khả năng thiệt hại và rủi ro của những kẻ tấn công varyingly chuyên nghiệp. Các phương pháp tiếp cận phần mềm trung tâm là phương pháp thích hợp nhất, vì nó disassembles hệ thống vào duy nhất ảnh hưởng lẫn nhau các cơ chế, diễn viên, phụ thuộc, và biên giới tin cậy. Các phần mềm được xác định mạng có thể được hiểu như là một cấu trúc hệ điều hành lớn và do đó các mô hình phần mềm trung tâm aptly có thể phân tích và nêu bật những lỗ hổng bảo mật tiềm năng. Thay vì DFDS, kiến trúc phần mềm cũng có thể được chia thành các biểu đồ UML, nhà biểu đồ hoặc Petri lưới. Ariss, Wu, và Xu, 2011 [67] trình bày một cách tiếp cận tích hợp cây tấn công vào các biểu đồ trạng thái để hình dung tình trạng không an toàn của hệ thống. Tuy nhiên, các phương pháp này có thể sẽ phù hợp hơn cho các hệ thống phần mềm với các quá trình và thay đổi trạng thái hệ thống, và các cấu trúc tương tác dựa trên chất lỏng không như trong SDN. Luận án OpenFlow - Một phân tích an ninh [63] thảo luận về phương pháp thêm cho mô hình mối đe dọa và trình bày phần mở rộng các mô hình đã có.
Stride không phải là phương pháp đánh giá rủi ro duy nhất. Ba loại phổ biến của phương pháp tồn tại: Asset-centric, kẻ tấn công trung tâm, và phần mềm trung tâm. Asset-centric focusses trên nhạy cảm dữ liệu, thông tin hoặc phần cứng, mà cần phải được bảo vệ. Đối với mỗi tài sản, các phương pháp gây thiệt hại và tác động tổng thể của một tổn thất được đánh giá. Stride có thể được mở rộng với OAI (Damage, lặp lại, năng khai thác, người dùng bị ảnh hưởng, Discoverability) để đánh giá các cơ hội tiềm năng hoặc mức độ của một cuộc tấn công. Tương tự như vậy, các tổn thương thường gặp Scoring System (CVSS) [66], một chuẩn công nghiệp để đánh giá và đánh giá tiềm năng về một lỗ hổng bảo mật, có thể được sử dụng để ưu tiên và xác định các vấn đề an ninh cho tài sản cá nhân. Tuy nhiên, các mô hình này không phải là một phần của phạm vi của luận án là họ phân loại ưu tiên an ninh và mất công ty, đó là không có liên quan cho các khuôn khổ lý thuyết, chẳng hạn như các mô hình thành lập trong các chương trước. Các phương pháp tấn công trung tâm humanises, phân loại các kẻ tấn công vào một số nhân (ví dụ như "Script Kiddie" hay "đại lý") và ước tính khả năng của mình trong hệ thống hiện tại. Theo những khả năng, phương pháp phòng ngừa được phát triển và áp dụng. Cách tiếp cận này là ít quan tâm đến những phức tạp kỹ thuật của các hệ thống có liên quan và nhiều hơn nữa về khả năng thiệt hại và rủi ro của những kẻ tấn công varyingly chuyên nghiệp. Các phương pháp tiếp cận phần mềm trung tâm là phương pháp thích hợp nhất, vì nó disassembles hệ thống vào duy nhất ảnh hưởng lẫn nhau các cơ chế, diễn viên, phụ thuộc, và biên giới tin cậy. Các phần mềm được xác định mạng có thể được hiểu như là một cấu trúc hệ điều hành lớn và do đó các mô hình phần mềm trung tâm aptly có thể phân tích và nêu bật những lỗ hổng bảo mật tiềm năng. Thay vì DFDS, kiến trúc phần mềm cũng có thể được chia thành các biểu đồ UML, nhà biểu đồ hoặc Petri lưới. Ariss, Wu, và Xu, 2011 [67] trình bày một cách tiếp cận tích hợp cây tấn công vào các biểu đồ trạng thái để hình dung tình trạng không an toàn của hệ thống. Tuy nhiên, các phương pháp này có thể sẽ phù hợp hơn cho các hệ thống phần mềm với các quá trình và thay đổi trạng thái hệ thống, và các cấu trúc tương tác dựa trên chất lỏng không như trong SDN. Luận án OpenFlow - Một phân tích an ninh [63] thảo luận về phương pháp thêm cho mô hình mối đe dọa và trình bày phần mở rộng các mô hình đã có.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Dear Professor Heikki A.Loikkanen!I got
- Ninja Fruit
- người đóng vai đại sư huynh là Lục Tiểu
- My favorite childhood memories were most
- ngày dự kiến khai trương sẽ là
- + Tăng cường nguồn lực cho hoạt động ngh
- Thường xuyên cắt tỉa cây cối, vệ sinh kh
- Nó có 2 nghĩa, một là xưng hô giữa anh t
- thuốc kháng sinh
- Bởi vì nó giúp tôi được thư giãn
- thuốc kháng sinh
- Nó có 2 nghĩa, một là xưng hô giữa anh t
- software
- Thậm chí bạn còn không muốn tôi biết vè
- đó là quan điểm của Mr Manoj
- màu xám vàng
- Múa rối nước là một loại hình nghệ thuật
- tell them how long they can expect to be
- ........ When you first apply for a job,
- EU nhập khẩu 260,5 ngàn tấn gạo từ 1/9-2
- Referring now more specifically to -FIG.
- bạn bị điên à?
- Referring now more specifically to -FIG.
- chúng tôi để đồ đạc ở phòng kho
