Panel chyb zabezpečení SDL (ukázka)

Poznámka: Tento ukázkový dokument je určený jenom pro ilustraci. Obsah uvedený níže popisuje základní kritéria, která je potřeba vzít v úvahu při vytváření procesů zabezpečení. Nejedná se o vyčerpávající seznam aktivit nebo kritérií a neměl by být považován za takový.

Projděte si definice termínů v této části.

Server

Podívejte se na Denial of Service Matrix pro kompletní matici scénářů serverových DoS útoků.

Panel serveru obvykle není vhodný, pokud je interakce uživatele součástí procesu zneužití. Pokud existuje kritická chyba zabezpečení pouze na serverových produktech a využívá se způsobem, který vyžaduje interakci uživatele a vede k ohrožení serveru, může být závažnost snížena z kritického na důležité v souladu s definicí neAT/dat rozsáhlé interakce uživatele prezentované na začátku pivotu závažnosti klienta.

Server

Kritické

Souhrn serveru: Síťové červy nebo nevyhnutelné případy, kdy je server vlastněn.

  • Zvýšení oprávnění: Možnost spuštění libovolného kódu nebo získání více oprávnění než je povoleno

    • Vzdálený anonymní uživatel

      • Příklady:

        • Neoprávněný přístup k systému souborů: libovolný zápis do systému souborů

        • Spuštění libovolného kódu

        • Injektáž SQL (která umožňuje spuštění kódu)

    • Všechna porušení přístupu k zápisu (AV), zneužitelná čtení AV nebo celočíselná přetečení ve vzdáleném anonymně volatelném kódu

Důležité

Souhrn serveru: Jiné než výchozí kritické scénáře nebo případy, kdy existují omezení rizik, která můžou pomoct zabránit kritickým scénářům.

  • Odepření služby: Musí být "snadné zneužít" odesláním malého množství dat nebo jinak rychle indukovaným

    • Anonymní

      • Trvalý útok DoS

        • Příklady:

          • Odeslání jednoho škodlivého paketu TCP vede k modré obrazovce smrti (BSoD)

          • Odesílání malého počtu paketů, které způsobují selhání služby

      • Dočasné DoS se zesílením

        • Příklady:

          • Odeslání malého počtu paketů, které způsobí, že systém bude po určitou dobu nepoužitelný

          • Webový server (například IIS) vypadne na minutu nebo déle

          • Jeden vzdálený klient, který využívá všechny dostupné prostředky (relace, paměť) na serveru tím, že vytváří relace a udržuje je otevřené.

    • Ověřeno

      • Trvalý doS vůči aktivu s vysokou hodnotou

        • Příklad:

          • Odeslání malého počtu paketů, které způsobí selhání služby pro vysoce hodnotný prostředek v rolích serveru (certifikátový server, server Kerberos, řadič domény), například když uživatel ověřený doménou může na řadiči domény provést doS.

  • Zvýšení oprávnění: Možnost spuštění libovolného kódu nebo získání více oprávnění, než je zamýšleno

    • Vzdálený ověřený uživatel

    • Místní ověřený uživatel (terminálový server)

      • Příklady:

        • Neoprávněný přístup k systému souborů: libovolný zápis do systému souborů

        • Spuštění libovolného kódu

    • Všechny zásahy AV pro zápis, zneužitelné čtení AV nebo překročení rozsahu celého čísla v kódu, k němuž mohou přistupovat vzdálení nebo místní uživatelé, kteří nejsou správci (u scénářů správců se nejedná o bezpečnostní rizika podle definice, ale stále mohou znamenat problémy se spolehlivostí).

  • Zpřístupnění informací (cílené)

    • Případy, kdy útočník může vyhledat a číst informace odkudkoli v systému, včetně systémových informací, které nebyly zamýšleny nebo navrženy tak, aby byly vystaveny

      • Příklady:

        • Zpřístupnění identifikovatelných osobních údajů

          • Zveřejnění PII (e-mailové adresy, telefonní čísla, informace o platební kartě)

          • Útočník může shromažďovat PII bez souhlasu uživatele nebo skrytě

  • Falšování identity

    • Entita (počítač, server, uživatel, proces) je schopná maskovat jako konkrétní entitu (uživatel nebo počítač) podle svého výběru.

      • Příklady:

        • Webový server nesprávně používá ověřování klientských certifikátů (SSL), aby útočník mohl být identifikován jako libovolný uživatel podle svého výběru.

        • Nový protokol je navržený tak, aby poskytoval vzdálené ověřování klientů, ale v protokolu existuje chyba, která umožňuje, aby se vzdálený uživatel se zlými úmysly byl považován za jiného uživatele podle vlastní volby.

  • Manipulace

    • Úprava jakýchkoliv dat s vysokou hodnotou v běžném nebo výchozím scénáři, kde změny zůstanou zachovány po restartování ovlivněného softwaru

    • Trvalá nebo přetrvávající úprava jakýchkoli uživatelských nebo systémových dat používaných v běžném nebo výchozím scénáři

      • Příklady:

        • Úprava datových souborů nebo databází aplikací v běžném nebo výchozím scénáři, například ověřené injektáže SQL

        • Otrava mezipamětí proxy serveru v běžném nebo výchozím scénáři

        • Úprava nastavení operačního systému nebo aplikace bez souhlasu uživatele v běžném nebo výchozím scénáři

  • Funkce zabezpečení: Přerušení nebo obejití všech funkcí zabezpečení, které jsou k dispozici.
    Všimněte si, že zranitelnost v bezpečnostní funkci má ve výchozím nastavení hodnocení "Důležité", ale hodnocení může být upraveno na základě dalších aspektů, popisovaných v panelu chyb SDL.

    • Příklady:

      • Zakázání nebo obejití brány firewall bez informování uživatelů nebo získání souhlasu

      • Změna konfigurace brány firewall a povolení připojení k jiným procesům

Střední
  • Odepření služby

    • Anonymní

      • Dočasný systém DoS bez amplifikace ve výchozí/běžné instalaci.

        • Příklad:

          • Několik vzdálených klientů , kteří využívají všechny dostupné prostředky (relace, paměť) na serveru tím, že navazují relace a udržují je otevřené.

    • Ověřeno

      • Trvalý útok DoS

        • Příklad:

          • Přihlášený uživatel Exchange může odeslat určitou e-mailovou zprávu a způsobit pád Exchange Serveru, přičemž tento pád není způsobený zápisem AV, zneužitelným čtením AV nebo celočíselným přetečením.

      • Dočasný útok DoS se zesílením v základní/obyčejné instalaci

        • Příklad:

          • Běžný uživatel SQL Serveru spustí uloženou proceduru nainstalovanou některým produktem a několik minut spotřebovává 100 % procesoru.

  • Zpřístupnění informací (cílené)

    • Případy, kdy útočník může snadno číst informace o systému z konkrétních míst, včetně systémových informací, které nebyly zamýšleny nebo navrženy tak, aby byly zpřístupněny.

      • Příklad:

        • Cílené zpřístupnění anonymních dat

        • Cílené zveřejnění existence souboru

        • Cílené zpřístupnění čísla verze souboru

  • Falšování identity

    • Entita (počítač, server, uživatel, proces) je schopná maskovat jako jinou náhodnou entitu, kterou nelze konkrétně vybrat.

      • Příklad:

        • Klient se správně ověřuje na serveru, ale server vrací relaci od jiného náhodného uživatele, který je připojený k serveru ve stejnou dobu.

  • Manipulace

    • Trvalé nebo perzistentní úpravy jakýchkoli uživatelských nebo systémových dat v určitém scénáři

      • Příklady:

        • Úprava datových souborů nebo databází aplikací v konkrétním scénáři

        • Otrava mezipaměti proxy serveru v konkrétním případě

        • Úprava nastavení operačního systému nebo aplikace bez souhlasu uživatele v konkrétním scénáři

    • Dočasné úpravy dat v běžném nebo výchozím scénáři, které se po restartování operačního systému, aplikace nebo relace nezachovávají

  • Záruky zabezpečení:

    • Zajištění zabezpečení je funkce zabezpečení nebo jiná funkce produktu nebo funkce, kterou zákazníci očekávají, že budou nabízet ochranu zabezpečení. Komunikace měla zprávu (explicitně nebo implicitně), že zákazníci můžou spoléhat na integritu funkce, a proto je to bezpečnostní zárukou. Bulletiny zabezpečení budou vydány kvůli nedostatku v zárukách zabezpečení, který podkopává důvěru zákazníka.

      • Příklady:

        • Procesy spuštěné s normálními oprávněními "uživatel" nemohou získat oprávnění správce, pokud nebyly zadány heslo nebo přihlašovací údaje správce prostřednictvím úmyslně autorizovaných metod.

        • Internetový JavaScript spuštěný v aplikaci Internet Explorer nemůže ovládat nic, co hostitelský operační systém, pokud uživatel explicitně nezměnil výchozí nastavení zabezpečení.

Nízká
  • Zpřístupnění informací (nesměrované)

    • Informace o modulu runtime

      • Příklad:

        • Únik paměti z náhodné haldy

  • Manipulace

    • Dočasné změny dat v konkrétním scénáři , které se po restartování operačního systému nebo aplikace nezachovají

Klient

Rozsáhlá akce uživatele je definována takto:

  • "Interakce uživatele" může probíhat pouze ve scénáři řízeném klientem.

  • Normální, jednoduché uživatelské akce, jako je zobrazení náhledu pošty, zobrazení místních složek nebo sdílených složek, nejsou rozsáhlé interakce uživatelů.

  • "Rozsáhlé" zahrnuje uživatele, kteří ručně přejdou na konkrétní web (například zadáním adresy URL) nebo kliknutím na rozhodnutí typu ano/ne.

  • "Není rozsáhlé" zahrnuje uživatele, kteří kliknou na e-mailové odkazy.

  • Kvalifikátor NEAT (platí pouze pro upozornění). Prokazatelně platí, že uživatelské rozhraní je:

    • Necessary (Musí být uživatel skutečně postaven před rozhodnutí?)

    • Explained (Prezentuje uživatelské rozhraní všechny informace, které uživatel potřebuje k tomuto rozhodnutí?)

    • Actionable (Existuje sada kroků, které můžou uživatelé provést, aby se mohli dobře rozhodovat v neškodných i škodlivých scénářích?)

    • Tested (bylo upozornění zkontrolováno více lidmi, aby lidé pochopili, jak na upozornění reagovat?)

  • Objasnění: Všimněte si, že účinek rozsáhlé interakce uživatele není o jednu úroveň nižší závažnosti, ale je a byl to snížení závažnosti za určitých okolností, kdy se fráze rozsáhlé interakce uživatele zobrazuje na panelu chyb. Cílem je pomáhat zákazníkům rozlišovat rychle se šířící a červnitelné útoky od těch, kde, protože uživatel komunikuje, je útok zpomalován. Tento panel chyb neumožňuje snížit úroveň oprávnění nižší než důležitá kvůli interakci uživatele.

Klient

Kritické

Souhrn klienta:

  • Síťové červy nebo nevyhnutelné běžné scénáře procházení/používání, ve kterých je klient ovládnut bez upozornění nebo výzev.

  • Zvýšení oprávnění (vzdálené): Možnost spuštění libovolného kódu nebo získání více oprávnění, než je zamýšleno

    • Příklady:

      • Neoprávněný přístup k systému souborů: zápis do systému souborů

      • Provádění libovolného kódu bez rozsáhlé akce uživatele

      • Všechny zápisy AV, zneužitelné čtení AV, přetečení zásobníku nebo přetečení celého čísla v kódu, který lze vzdáleně volat (bez rozsáhlé akce uživatele)

Důležité

Souhrn klienta:

  • Běžné scénáře procházení nebo použití, ve kterých je klient ovládán pomocí upozornění nebo výzev, nebo prostřednictvím rozsáhlých akcí bez výzev. Mějte na paměti, že to nerozlišuje kvalitu/použitelnost výzvy a pravděpodobnost, že uživatel může kliknout na výzvu, ale pouze že existuje výzva některého formuláře.

  • Zvýšení oprávnění (vzdálené)

    • Spuštění libovolného kódu s rozsáhlou akcí uživatele

      • Všechny zápisy AV, zneužitelné čtení AV nebo přetečení celého čísla ve vzdáleném volatelném kódu s rozsáhlými uživatelskými akcemi

  • Zvýšení oprávnění (místní)

    • Místní uživatel s nízkými oprávněními se může zvýšit na jiného uživatele, správce nebo místní systém.

      • Všechny zápisy AVs, zneužitelné čtení AVs nebo přetečení celočíselných hodnot v místním volatelném kódu

  • Zpřístupnění informací (cílené)

    • Případy, kdy útočník může vyhledat a číst informace o systému, včetně informací o systému, které nebyly zamýšleny nebo navrženy tak, aby byly vystaveny.

    • Příklad:

      • Neoprávněný přístup k systému souborů: čtení ze systému souborů

      • Zveřejnění PII

        • Zveřejnění PII (e-mailové adresy, telefonní čísla)

      • Scénáře pro volání domů

  • Odepření služby

    • DoS útok způsobující poškození systému vyžaduje opětovnou instalaci systému a/nebo jeho komponent.

      • Příklad:

        • Při návštěvě webové stránky dojde k poškození registru, které způsobí, že počítač nelze spustit.

    • Útok typu Drive-by DoS

      • Kritéria:

        • Neověřený systém DoS

        • Výchozí expozice

        • Žádné výchozí funkce zabezpečení ani omezení rizik hranic (brány firewall)

        • Žádná interakce uživatele

        • Žádná stopa auditu a trestu

        • Příklad:

          • "Pohotovostní útok Bluetooth systému DoS nebo SMS v mobilním telefonu"

  • Falšování identity

    • Schopnost útočníka prezentovat uživatelské rozhraní, které se liší od uživatelského rozhraní, ale vizuálně identické s uživatelským rozhraním, na které se uživatelé musí spolehnout při rozhodování o platné důvěryhodnosti ve výchozím nebo běžném scénáři. Rozhodnutí o důvěryhodnosti je definováno tak, že uživatel provede akci, která věří, že určité informace prezentuje určitá entita – systém nebo určitý konkrétní místní nebo vzdálený zdroj.

      • Příklady:

        • Zobrazení jiné adresy URL v adresní řádku prohlížeče z adresy URL webu, který prohlížeč ve skutečnosti zobrazuje ve výchozím nebo běžném scénáři

        • Zobrazení okna přes adresní řádek prohlížeče, který vypadá stejně jako adresní řádek, ale zobrazuje falešná data ve výchozím nebo běžném scénáři

        • Zobrazuje se jiný název souboru v položce "Chcete tento program spustit?" dialogové okno než soubor, který se skutečně načte ve výchozím nebo běžném scénáři

        • Zobrazit "falešnou" přihlašovací výzvu ke získání přihlašovacích údajů uživatele nebo účtu

  • Manipulace

    • Trvalé změny uživatelských dat nebo dat používaných k rozhodování o důvěryhodnosti v běžném nebo výchozím scénáři, které po restartování operačního systému nebo aplikace potrvají.

      • Příklady:

        • Otrava mezipamětí webového prohlížeče

        • Úprava významných nastavení operačního systému nebo aplikace bez souhlasu uživatele

        • Úprava uživatelských dat

  • Funkce zabezpečení: Přerušení nebo obejití jakékoli poskytované funkce zabezpečení

    • Příklady:

      • Zakázání nebo obejití brány firewall bez informování uživatele nebo získání jeho souhlasu

      • Změna konfigurace brány firewall a povolení připojení k jiným procesům

      • Použití slabého šifrování nebo uchovávání klíčů uložených ve formátu prostého textu

      • Obejití AccessChecku

      • Obejití BitLockeru: například nešifrování části jednotky

      • Obejít syskey, způsob, jak dekódovat syskey bez hesla

Střední
  • Odepření služby

    • Trvalý systém DoS vyžaduje studené restartování nebo způsobuje modrou obrazovku nebo kontrolu chyb.

      • Příklad:

        • Otevření wordového dokumentu způsobí, že počítač překontroluje modrou obrazovku nebo chybu.

  • Zpřístupnění informací (cílené)

    • Případy, kdy útočník může číst informace o systému ze známých umístění, včetně systémových informací, které nebyly zamýšleny nebo navrženy k jejich zveřejnění.

      • Příklady:

        • Cílový stav souboru

        • Číslo verze cílového souboru

  • Falšování identity

    • Schopnost útočníka prezentovat uživatelské rozhraní, které se liší od uživatelského rozhraní, ale vizuálně identické s uživatelským rozhraním, na které jsou uživatelé zvyklí v konkrétním scénáři důvěřovat. „Běžně důvěryhodné“ je definováno jako cokoli, s čím je uživatel obeznámen na základě běžné interakce s operačním systémem nebo aplikací, ale obvykle o tom nepřemýšlí jako o „rozhodnutí o důvěře“.

      • Příklady:

        • Otrava mezipamětí webového prohlížeče

        • Úprava významných nastavení operačního systému nebo aplikace bez souhlasu uživatele

        • Úprava uživatelských dat

Nízká
  • Odepření služby

    • Dočasný systém DoS vyžaduje restartování aplikace.

      • Příklad:

        • Otevření dokumentu HTML způsobí chybové ukončení Internet Exploreru

  • Falšování identity

    • Schopnost útočníka prezentovat uživatelské rozhraní, které se liší od uživatelského rozhraní, ale vizuálně identické s uživatelským rozhraním , které je jedinou součástí většího scénáře útoku.

      • Příklad:

        • Uživatel musí přejít na "škodlivý" web, kliknout na tlačítko ve falešném dialogovém okně a poté je náchylný k zranitelnosti způsobené jinou chybou prohlížeče.

  • Manipulace

    • Dočasná úprava všech dat, která se po restartování operačního systému nebo aplikace nezachovávají.

    • Zpřístupnění informací (nesměrované)

      • Příklad:

        • Únik paměti z náhodné haldy

Definice termínů

ověřený
Jakýkoli útok, který musí zahrnovat ověřování sítí. To znamená, že protokolování určitého typu musí být schopné nastat, aby bylo možné útočníka identifikovat.

anonymní
Jakýkoli útok, který se k dokončení nemusí ověřovat.

klient
Buď software, který běží místně na jednom počítači, nebo software, který přistupuje ke sdíleným prostředkům poskytovaným serverem přes síť.

výchozí/společný
Všechny funkce, které jsou aktivní mimo krabici nebo které dosáhnou více než 10 procent uživatelů.

scénář
Všechny funkce, které vyžadují speciální přizpůsobení nebo možnosti použití, aby je bylo možné aktivovat, využívá méně než 10 procent uživatelů.

server
Počítač, který je nakonfigurovaný tak, aby spouštěl software, který čeká a splňuje požadavky z klientských procesů spuštěných na jiných počítačích.

Kritická
Ohrožení zabezpečení, které by bylo hodnoceno jako nejvyšší potenciál poškození.

Důležité upozornění
Ohrožení zabezpečení, které by bylo hodnoceno jako významné riziko poškození, ale menší než kritické.

Mírný
Ohrožení zabezpečení, které by bylo hodnoceno jako středně závažné riziko poškození, ale méně než Důležité.

Nízký
Ohrožení zabezpečení, které by mělo být hodnoceno jako nízké riziko poškození.

zpřístupnění cílových informací
Možnost úmyslně vybrat požadované informace (cíl).

dočasný dos
Dočasný doS je situace, kdy jsou splněna následující kritéria:

  • Cíl nemůže provádět normální operace z důvodu útoku.

  • Odpověď na útok je přibližně stejná velikost jako velikost útoku.

  • Cíl se krátce po dokončení útoku vrátí na normální úroveň funkčnosti. Přesná definice pojmu „krátce“ by se měla vyhodnotit pro každý produkt.

Server například nereaguje, když útočník neustále odesílá stream paketů přes síť a server se vrátí do normálu několik sekund po zastavení datového proudu paketů.

dočasné doS se zesílením

Dočasný doS se zesílením je situace, kdy jsou splněna následující kritéria:

  • Cíl nemůže provádět normální operace z důvodu útoku.

  • Odpověď na útok je větší než velikost útoku.

  • Cíl se po dokončení útoku vrátí na normální úroveň funkčnosti, ale trvá to nějakou dobu (třeba několik minut).

Například pokud můžete odeslat škodlivý 10bajtový paket a způsobit odpověď 2048k v síti, provádíte DoS útok na šířku pásma zesílením útokového úsilí.

permanentní DoS

Trvalý systém DoS je takový, který vyžaduje, aby správce spustil, restartoval nebo přeinstaloval všechny nebo části systému. Jakákoli zranitelnost, která automaticky restartuje systém, také způsobuje trvalý DoS útok.

Matice odepření služby (server)

Ověřený vs. anonymní útok Výchozí/Běžné vs. Scénář Dočasný doS vs. trvalý Hodnocení
Ověřeno Výchozí nebo běžné Trvale Střední
Ověřeno Výchozí nebo běžné Dočasné DoS se zesílením Střední
Ověřeno Výchozí nebo běžné Dočasné DoS útok Nízká
Ověřeno Scénář Trvale Střední
Ověřeno Scénář Dočasné DoS se zesílením Nízká
Ověřeno Scénář Dočasné DoS útok Nízká
Anonymní Výchozí nebo běžné Trvale Důležité
Anonymní Výchozí nebo běžné Dočasné DoS se zesílením Důležité
Anonymní Výchozí nebo běžné Dočasné DoS útok Střední
Anonymní Scénář Trvale Důležité
Anonymní Scénář Dočasné DoS se zesílením Důležité
Anonymní Scénář Dočasné DoS útok Nízká

Upozornění na obsah

Tato dokumentace není vyčerpávajícím odkazem na postupy SDL v Microsoftu. Podle vlastního uvážení mohou produktové týmy provádět další záruky (ale nemusí být zdokumentované). V důsledku toho by tento příklad neměl být považován za přesný proces, který microsoft následuje za účelem zabezpečení všech produktů.

Tato dokumentace je poskytována tak, jak je. Informace a zobrazení vyjádřená v tomto dokumentu, včetně adres URL a dalších odkazů na internetové webové stránky, se mohou bez předchozího upozornění změnit. Riziko spojené s jejich použitím nesete vy.

Tato dokumentace neposkytuje žádná právní práva k duševnímu vlastnictví v žádném produktu Společnosti Microsoft. Tento dokument můžete kopírovat a používat pro své interní referenční účely.

© 2018 Microsoft Corporation. Všechna práva vyhrazena.

Licencováno v rámciCreative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported