Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Opmerking: dit voorbeelddocument is alleen bedoeld voor illustratiedoeleinden. De onderstaande inhoud bevat basiscriteria die u moet overwegen bij het maken van beveiligingsprocessen. Het is geen volledige lijst van activiteiten of criteria en mag niet als zodanig worden behandeld.
Raadpleeg de definities van termen in deze sectie.
Server
Raadpleeg de Denial of Service Matrix voor een volledige matrix met doS-serverscenario's.
De serverbalk is meestal niet geschikt wanneer gebruikersinteractie deel uitmaakt van het exploitatieproces. Als er alleen een kritiek beveiligingsprobleem bestaat op serverproducten en wordt misbruikt op een manier die interactie van de gebruiker vereist en leidt tot inbreuk op de server, kan de ernst worden verminderd van Kritiek naar Belangrijk in overeenstemming met de NETTE/gegevensdefinitie van uitgebreide gebruikersinteractie die aan het begin van de ernst van de client wordt gepresenteerd.
Server |
|
|---|---|
| Cruciaal / Kritisch | Serveroverzicht: netwerkwormen of onvermijdelijke gevallen waarin de server 'eigendom' is.
|
| Belangrijk | Serversamenvatting: niet-standaard kritieke scenario's of gevallen waarin er maatregelen bestaan die kunnen helpen kritieke scenario's te voorkomen.
|
| Matig |
|
| Laag |
|
Klant
Uitgebreide gebruikersactie wordt gedefinieerd als:Gebruikersinteractie kan alleen plaatsvinden in clientgestuurd scenario.
Normale, eenvoudige gebruikersacties, zoals het bekijken van een voorbeeld van e-mail, het weergeven van lokale mappen of bestandsshares, zijn geen uitgebreide gebruikersinteractie.
'Uitgebreid' omvat gebruikers die handmatig naar een bepaalde website navigeren (bijvoorbeeld typen in een URL) of door te klikken op een ja/nee-beslissing.
Gebruikers die op links in e-mails klikken, vallen onder "Niet uitgebreid".
NEAT-kwalificatie (alleen van toepassing op waarschuwingen). Overduidelijk is de UX:
Necessary (is het echt nodig dat de gebruiker een beslissing moet nemen?)
Explained (Bevat de UX alle informatie die de gebruiker nodig heeft om deze beslissing te nemen?)
Actiegericht (Zijn er stappen die gebruikers kunnen nemen voor goede beslissingen in zowel goedaardige als kwaadwillende scenario's?)
Getest (Is de waarschuwing beoordeeld door meerdere personen om ervoor te zorgen dat mensen begrijpen hoe ze moeten reageren op de waarschuwing?)
Verduidelijking: Houd er rekening mee dat het effect van uitgebreide gebruikersinteractie niet één niveauvermindering is in ernst, maar is en is een vermindering van de ernst in bepaalde omstandigheden waarbij de woordgroep uitgebreide gebruikersinteractie op de bugbalk wordt weergegeven. Het doel is om klanten te helpen bij het onderscheiden van snel verspreidende en wormbare aanvallen van die, waarbij door interactie van de gebruiker, de aanval wordt vertraagd. Met deze bugbalk kunt u de uitbreiding van bevoegdheden onder Belangrijk niet verminderen vanwege gebruikersinteractie.
Klant |
|
|---|---|
| Cruciaal / Kritisch | Clientoverzicht:
|
| Belangrijk | Clientoverzicht:
|
| Matig |
|
| Laag |
|
Definitie van termen
Geverifieerde
Elke aanval die verificatie door het netwerk moet omvatten. Dit betekent dat logboekregistratie van een bepaald type moet kunnen plaatsvinden, zodat de aanvaller kan worden geïdentificeerd.
anoniem
Elke aanval die niet hoeft te worden geverifieerd om te worden voltooid.
client
Software die lokaal wordt uitgevoerd op één computer of software die toegang heeft tot gedeelde resources die door een server via een netwerk worden geleverd.
standaard/algemeen
Alle functies die out-of-the-box actief zijn of die meer dan 10 procent van de gebruikers bereiken.
scenario
Alle functies waarvoor speciale aanpassingen of use cases nodig zijn om deze in te schakelen, waardoor minder dan 10 procent van de gebruikers wordt bereikt.
server
Computer die is geconfigureerd voor het uitvoeren van software die wacht op en voldoet aan aanvragen van clientprocessen die worden uitgevoerd op andere computers.
Kritiek
Een beveiligingsprobleem dat als het hoogste potentieel voor schade wordt beoordeeld.
Belangrijk
Een beveiligingsprobleem dat als aanzienlijk potentieel voor schade wordt beoordeeld, maar minder dan Kritiek.
Gematigd
Een beveiligingsprobleem dat als gemiddelde kans op schade wordt beoordeeld, maar minder dan Belangrijk.
Laag
Een beveiligingsprobleem dat zou worden beoordeeld als een laag potentieel voor schade.
gerichte openbaarmaking van informatie
Mogelijkheid om opzettelijk gewenste informatie te selecteren (doel).
tijdelijke DoS-aanval
Een tijdelijke DoS is een situatie waarin aan de volgende criteria wordt voldaan:
Het doel kan geen normale bewerkingen uitvoeren vanwege een aanval.
De reactie op een aanval is ongeveer dezelfde grootte als de grootte van de aanval.
Het doel keert terug naar het normale functionaliteitsniveau kort nadat de aanval is voltooid. De exacte definitie van 'binnenkort' moet voor elk product worden geëvalueerd.
Een server reageert bijvoorbeeld niet terwijl een aanvaller voortdurend een stroom pakketten via een netwerk verzendt en de server een paar seconden na het stoppen van de pakketstroom weer normaal wordt.
tijdelijke DoS met amplificatie
Een tijdelijke DoS met amplificatie is een situatie waarin aan de volgende criteria wordt voldaan:
Het doel kan geen normale bewerkingen uitvoeren vanwege een aanval.
De reactie op een aanval is een grootte die groter is dan de grootte van de aanval.
Het doel keert terug naar het normale functionaliteitsniveau nadat de aanval is voltooid, maar het duurt enige tijd (misschien een paar minuten).
Als u bijvoorbeeld een schadelijk pakket van 10 byte kunt verzenden en een antwoord van 2048k op het netwerk kunt veroorzaken, voert u een DoS-aanval uit door onze aanvalsinspanning te versterken.
permanente DoS
Een permanente DoS is een doS die een beheerder nodig heeft om alle of onderdelen van het systeem te starten, opnieuw te starten of opnieuw te installeren. Elk beveiligingsprobleem dat automatisch opnieuw wordt opgestart, is ook een permanente DoS.
Matrix voor Denial of Service (Server)
| Geverifieerd versus anonieme aanval | Standaard/gemeenschappelijk versus scenario | Tijdelijke DoS versus Permanent | Beoordeling |
|---|---|---|---|
| Geverifieerd | Standaard/algemeen | Permanente | Matig |
| Geverifieerd | Standaard/algemeen | Tijdelijke Denial-of-Service met versterking | Matig |
| Geverifieerd | Standaard/algemeen | Tijdelijke DoS-aanval | Laag |
| Geverifieerd | Scenario | Permanente | Matig |
| Geverifieerd | Scenario | Tijdelijke Denial-of-Service met versterking | Laag |
| Geverifieerd | Scenario | Tijdelijke DoS-aanval | Laag |
| Anoniem | Standaard/algemeen | Permanente | Belangrijk |
| Anoniem | Standaard/algemeen | Tijdelijke Denial-of-Service met versterking | Belangrijk |
| Anoniem | Standaard/algemeen | Tijdelijke DoS-aanval | Matig |
| Anoniem | Scenario | Permanente | Belangrijk |
| Anoniem | Scenario | Tijdelijke Denial-of-Service met versterking | Belangrijk |
| Anoniem | Scenario | Tijdelijke DoS-aanval | Laag |
Inhouds disclaimer
Deze documentatie is geen volledige verwijzing naar de SDL-procedures bij Microsoft. Aanvullende zekerheidswerkzaamheden kunnen naar eigen goeddunken worden uitgevoerd door productteams (maar niet noodzakelijkerwijs gedocumenteerd). Als gevolg hiervan moet dit voorbeeld niet worden beschouwd als het exacte proces dat Microsoft volgt om alle producten te beveiligen. Deze documentatie wordt 'as-is' verstrekt. Informatie en weergaven die in dit document worden uitgedrukt, met inbegrip van URL's en andere internetwebsiteverwijzingen, kunnen zonder kennisgeving worden gewijzigd. U gebruikt deze op eigen risico. Deze documentatie biedt u geen wettelijke rechten voor enig intellectueel eigendom in een Microsoft-product. U mag dit document kopiëren en gebruiken voor uw eigen referentiedoeleinden. © Microsoft Corporation 2018. Alle rechten voorbehouden. Licentie onderCreative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported |