Saat merancang sistem,
penting untuk memahami potensi ancaman terhadap sistem itu, dan menambahkan
pertahanan yang sesuai, karena sistem dibuat dan dirancang. Penting untuk
merancang produk sejak awal dengan mengutamakan keamanan karena dengan memahami
bagaimana penyerang dapat membahayakan sistem, hal ini dapat membantu
memastikan mitigasi yang tepat dilakukan sejak awal. Keamanan
dimulai dengan model ancamanMicrosoft telah lama menggunakan
model ancaman untuk produknya dan telah membuat proses pemodelan ancaman
perusahaan yang tersedia untuk umum. Pengalaman perusahaan menunjukkan bahwa
pemodelan memiliki manfaat tak terduga melebihi pemahaman langsung tentang
ancaman apa yang paling mengkhawatirkan. Misalnya, perusahaan juga memberikan
kesempatan untuk diskusi terbuka dengan orang lain di luar tim pengembangan,
yang dapat menghasilkan ide-ide baru dan peningkatan pada kualitas produk. Tujuan pemodelan ancaman adalah
untuk memahami bagaimana penyerang dapat membahayakan sistem dan kemudian
memastikan mitigasi yang tepat. Pemodelan ancaman memaksa tim desain untuk
mempertimbangkan mitigasi karena sistem dirancang terlebih dahulu sebelum
menyebarkannya. Fakta ini sangat penting, karena retrofitting pertahanan
keamanan ke banyak perangkat di lapangan tidak layak, rawan kesalahan, dan
menimbulkan risiko bagi pelanggan. Banyak tim pengembangan melakukan
pekerjaan yang sangat baik dalam menangkap persyaratan fungsional untuk sistem
yang menguntungkan pelanggan. Namun, mengidentifikasi cara yang tidak jelas
bahwa seseorang mungkin menyalahgunakan sistem menjadi hal yang lebih
menantang. Pemodelan ancaman dapat membantu tim pengembangan memahami apa yang
mungkin dilakukan penyerang dan alasannya. Pemodelan ancaman adalah proses
terstruktur yang memunculkan pembahasan tentang keputusan desain keamanan dalam
sistem, serta perubahan pada desain yang dibuat dengan cara yang berdampak pada
keamanan. Meskipun model ancaman hanyalah dokumen, dokumentasi ini juga
merupakan cara ideal untuk memastikan kelangsungan pengetahuan, retensi
pelajaran yang didapat, dan membantu tim baru melakukan onboard dengan cepat.
Akhirnya, hasil pemodelan ancaman adalah memungkinkan Anda untuk
mempertimbangkan aspek keamanan lainnya, seperti komitmen keamanan apa yang
ingin Anda berikan kepada pelanggan. Komitmen ini bersama dengan pemodelan
ancaman menginformasikan dan mendorong pengujian solusi Internet of Things
(IoT) Anda. Kapan melakukan pemodelan ancamanPemodelan
ancaman memberikan nilai terbesar ketika Anda memasukkannya ke
dalam fase desain. Saat merancang, Anda memiliki fleksibilitas terbesar untuk
membuat perubahan dalam menghilangkan ancaman. Menghilangkan ancaman
berdasarkan desain adalah hasil yang diinginkan. Jauh lebih mudah daripada
menambahkan mitigasi, menguji, dan memastikannya tetap terkini, dan apalagi,
eliminasi semacam itu tidak selalu dapat dilakukan. Menghilangkan ancaman
ketika suatu produk sudah lebih matang akan lebih sulit dilakukan karena
nantinya akan membutuhkan lebih banyak usaha dan tradeoff yang jauh lebih sulit
daripada pemodelan ancaman sejak dini dalam pengembangan. Apa yang harus dipertimbangkan untuk pemodelan ancamanAnda harus melihat solusi secara
keseluruhan dan fokus pada hal berikut: ·
Fitur keamanan dan privasi ·
Fitur yang kegagalannya relevan dengan keamanan ·
Fitur yang menyentuh batas kepercayaan Siapa yang melakukan pemodelan ancamanPemodelan ancaman adalah proses
seperti pada umumnya. Merupakan hal yang baik jika dokumen model ancaman
diperlakukan seperti komponen solusi lainnya dan divalidasi. Banyak tim
pengembangan melakukan pekerjaan yang sangat baik dalam menangkap persyaratan
fungsional untuk sistem yang menguntungkan pelanggan. Namun, mengidentifikasi
cara yang tidak jelas bahwa seseorang mungkin menyalahgunakan sistem menjadi
hal yang lebih menantang. Pemodelan ancaman dapat membantu tim pengembangan
memahami apa yang mungkin dilakukan penyerang dan alasannya. Cara melakukan pemodelan ancamanProses pemodelan ancaman terdiri
dari empat langkah; langkah-langkahnya adalah: ·
Model aplikasi ·
Menghitung Ancaman ·
Memitigasi ancaman ·
Memvalidasi mitigasi Langkah-langkah prosesTiga aturan praktis yang perlu
diingat saat membangun model ancaman: 1.
Membuat diagram di
luar arsitektur referensi. 2.
Mulailah
mengutamakan luas. Dapatkan gambaran umum, dan pahami sistem secara
keseluruhan, sebelum menyelami lebih dalam. Pendekatan ini membantu memastikan
Anda menyelam dalam di tempat yang tepat. 3.
Kendalikan
prosesnya, jangan biarkan prosesnya yang mengendalikan Anda. Jika Anda
menemukan masalah dalam fase pemodelan dan ingin menjelajahinya, lakukanlah!
Jangan merasa Anda harus mengikuti langkah-langkah ini dengan patuh. AncamanEmpat elemen inti dari model
ancaman adalah: ·
Proses seperti
layanan web, layanan Win32, dan *nix daemon. Beberapa entitas kompleks
(misalnya gateway bidang dan sensor) dapat diabstraksi sebagai proses ketika
latihan teknis di area ini tidak dapat dilakukan. ·
Penyimpanan data (di
mana saja data disimpan, seperti file konfigurasi atau database) ·
Aliran data (tempat
data berpindah di antara elemen lain dalam aplikasi) ·
Entitas Eksternal
(apa pun yang berinteraksi dengan sistem, tetapi tidak berada di bawah kendali aplikasi,
contohnya termasuk pengguna dan umpan satelit) Semua elemen dalam diagram
arsitektur bergantung pada berbagai ancaman; artikel ini STRIDE mnemonic. Baca Pemodelan
Ancaman Lagi, STRIDE untuk mengetahui lebih banyak tentang
elemen STRIDE. Elemen yang berbeda dari diagram
aplikasi bergantung pada ancaman STRIDE tertentu: ·
Proses bergantung pada STRIDE ·
Aliran data bergantung pada TID ·
Penyimpanan data bergantung pada TID, dan kadang-kadang R,
ketika penyimpanan data adalah file log. ·
Entitas eksternal bergantung pada SRD Keamanan di IoTPerangkat tujuan khusus yang
terhubung memiliki banyak area permukaan interaksi potensial dan pola
interaksi, yang semuanya harus dipertimbangkan untuk menyediakan kerangka kerja
guna mengamankan akses digital ke perangkat tersebut. Istilah "akses digital"
digunakan di sini untuk membedakan setiap operasi yang dilakukan melalui
interaksi perangkat langsung di mana keamanan akses disediakan melalui kontrol
akses fisik. Misalnya, memasukkan perangkat ke dalam ruangan dengan kunci di
pintu. Meskipun akses fisik tidak dapat ditolak menggunakan perangkat lunak dan
perangkat keras, tindakan dapat diambil guna mencegah akses fisik yang dapat
menyebabkan gangguan sistem. Saat Anda menjelajahi pola
interaksi, lihat "kontrol perangkat" dan "data perangkat"
dengan tingkat perhatian yang sama. "Kontrol perangkat" dapat
diklasifikasikan sebagai informasi apa pun yang diberikan kepada perangkat oleh
pihak mana pun dengan tujuan mengubah atau memengaruhi perilakunya terhadap
keadaannya atau keadaan lingkungannya. "Data perangkat" dapat
diklasifikasikan sebagai informasi apa pun yang dipancarkan perangkat kepada
pihak lain tentang keadaannya dan keadaan lingkungannya yang diamati. Untuk mengoptimalkan keamanan
dengan cara terbaik, disarankan agar arsitektur IoT umum dibagi menjadi
beberapa komponen/zona sebagai bagian dari latihan pemodelan ancaman. Zona ini
dijelaskan sepenuhnya di seluruh bagian ini dan mencakup: ·
Perangkat, ·
Gateway bidang, ·
Gateway cloud, dan ·
Layanan. Zona adalah cara yang luas untuk
mengelompokkan solusi; setiap zona sering kali memiliki data dan autentikasi
dan persyaratan otorisasi sendiri. Zona juga dapat digunakan untuk mengisolasi
kerusakan dan membatasi dampak zona kepercayaan rendah pada zona kepercayaan
yang lebih tinggi.
Setiap zona dipisahkan oleh Batas
Kepercayaan, yang nampak sebagai garis merah putus-putus dalam diagram berikut.
Hal ini mewakili transisi data/informasi dari satu sumber ke sumber lain.
Selama transisi ini, data/informasi dapat dikenakan Spoofing, Tampering,
Repudiation, Information Disclosure, Denial of Service dan Elevation of
Privilege (STRIDE). |