Saat merancang sistem, penting untuk memahami potensi ancaman terhadap sistem itu, dan menambahkan pertahanan yang sesuai, karena sistem dibuat dan dirancang. Penting untuk merancang produk sejak awal dengan mengutamakan keamanan karena dengan memahami bagaimana penyerang dapat membahayakan sistem, hal ini dapat membantu memastikan mitigasi yang tepat dilakukan sejak awal.

Keamanan dimulai dengan model ancaman

Microsoft telah lama menggunakan model ancaman untuk produknya dan telah membuat proses pemodelan ancaman perusahaan yang tersedia untuk umum. Pengalaman perusahaan menunjukkan bahwa pemodelan memiliki manfaat tak terduga melebihi pemahaman langsung tentang ancaman apa yang paling mengkhawatirkan. Misalnya, perusahaan juga memberikan kesempatan untuk diskusi terbuka dengan orang lain di luar tim pengembangan, yang dapat menghasilkan ide-ide baru dan peningkatan pada kualitas produk.

Tujuan pemodelan ancaman adalah untuk memahami bagaimana penyerang dapat membahayakan sistem dan kemudian memastikan mitigasi yang tepat. Pemodelan ancaman memaksa tim desain untuk mempertimbangkan mitigasi karena sistem dirancang terlebih dahulu sebelum menyebarkannya. Fakta ini sangat penting, karena retrofitting pertahanan keamanan ke banyak perangkat di lapangan tidak layak, rawan kesalahan, dan menimbulkan risiko bagi pelanggan.

Banyak tim pengembangan melakukan pekerjaan yang sangat baik dalam menangkap persyaratan fungsional untuk sistem yang menguntungkan pelanggan. Namun, mengidentifikasi cara yang tidak jelas bahwa seseorang mungkin menyalahgunakan sistem menjadi hal yang lebih menantang. Pemodelan ancaman dapat membantu tim pengembangan memahami apa yang mungkin dilakukan penyerang dan alasannya. Pemodelan ancaman adalah proses terstruktur yang memunculkan pembahasan tentang keputusan desain keamanan dalam sistem, serta perubahan pada desain yang dibuat dengan cara yang berdampak pada keamanan. Meskipun model ancaman hanyalah dokumen, dokumentasi ini juga merupakan cara ideal untuk memastikan kelangsungan pengetahuan, retensi pelajaran yang didapat, dan membantu tim baru melakukan onboard dengan cepat. Akhirnya, hasil pemodelan ancaman adalah memungkinkan Anda untuk mempertimbangkan aspek keamanan lainnya, seperti komitmen keamanan apa yang ingin Anda berikan kepada pelanggan. Komitmen ini bersama dengan pemodelan ancaman menginformasikan dan mendorong pengujian solusi Internet of Things (IoT) Anda.

Kapan melakukan pemodelan ancaman

Pemodelan ancaman memberikan nilai terbesar ketika Anda memasukkannya ke dalam fase desain. Saat merancang, Anda memiliki fleksibilitas terbesar untuk membuat perubahan dalam menghilangkan ancaman. Menghilangkan ancaman berdasarkan desain adalah hasil yang diinginkan. Jauh lebih mudah daripada menambahkan mitigasi, menguji, dan memastikannya tetap terkini, dan apalagi, eliminasi semacam itu tidak selalu dapat dilakukan. Menghilangkan ancaman ketika suatu produk sudah lebih matang akan lebih sulit dilakukan karena nantinya akan membutuhkan lebih banyak usaha dan tradeoff yang jauh lebih sulit daripada pemodelan ancaman sejak dini dalam pengembangan.

Apa yang harus dipertimbangkan untuk pemodelan ancaman

Anda harus melihat solusi secara keseluruhan dan fokus pada hal berikut:

·         Fitur keamanan dan privasi

·         Fitur yang kegagalannya relevan dengan keamanan

·         Fitur yang menyentuh batas kepercayaan

Siapa yang melakukan pemodelan ancaman

Pemodelan ancaman adalah proses seperti pada umumnya. Merupakan hal yang baik jika dokumen model ancaman diperlakukan seperti komponen solusi lainnya dan divalidasi. Banyak tim pengembangan melakukan pekerjaan yang sangat baik dalam menangkap persyaratan fungsional untuk sistem yang menguntungkan pelanggan. Namun, mengidentifikasi cara yang tidak jelas bahwa seseorang mungkin menyalahgunakan sistem menjadi hal yang lebih menantang. Pemodelan ancaman dapat membantu tim pengembangan memahami apa yang mungkin dilakukan penyerang dan alasannya.

Cara melakukan pemodelan ancaman

Proses pemodelan ancaman terdiri dari empat langkah; langkah-langkahnya adalah:

·         Model aplikasi

·         Menghitung Ancaman

·         Memitigasi ancaman

·         Memvalidasi mitigasi

Langkah-langkah proses

Tiga aturan praktis yang perlu diingat saat membangun model ancaman:

1.      Membuat diagram di luar arsitektur referensi.

2.      Mulailah mengutamakan luas. Dapatkan gambaran umum, dan pahami sistem secara keseluruhan, sebelum menyelami lebih dalam. Pendekatan ini membantu memastikan Anda menyelam dalam di tempat yang tepat.

3.      Kendalikan prosesnya, jangan biarkan prosesnya yang mengendalikan Anda. Jika Anda menemukan masalah dalam fase pemodelan dan ingin menjelajahinya, lakukanlah! Jangan merasa Anda harus mengikuti langkah-langkah ini dengan patuh.

Ancaman

Empat elemen inti dari model ancaman adalah:

·         Proses seperti layanan web, layanan Win32, dan *nix daemon. Beberapa entitas kompleks (misalnya gateway bidang dan sensor) dapat diabstraksi sebagai proses ketika latihan teknis di area ini tidak dapat dilakukan.

·         Penyimpanan data (di mana saja data disimpan, seperti file konfigurasi atau database)

·         Aliran data (tempat data berpindah di antara elemen lain dalam aplikasi)

·         Entitas Eksternal (apa pun yang berinteraksi dengan sistem, tetapi tidak berada di bawah kendali aplikasi, contohnya termasuk pengguna dan umpan satelit)

Semua elemen dalam diagram arsitektur bergantung pada berbagai ancaman; artikel ini STRIDE mnemonic. Baca Pemodelan Ancaman Lagi, STRIDE untuk mengetahui lebih banyak tentang elemen STRIDE.

Elemen yang berbeda dari diagram aplikasi bergantung pada ancaman STRIDE tertentu:

·         Proses bergantung pada STRIDE

·         Aliran data bergantung pada TID

·         Penyimpanan data bergantung pada TID, dan kadang-kadang R, ketika penyimpanan data adalah file log.

·         Entitas eksternal bergantung pada SRD

Keamanan di IoT

Perangkat tujuan khusus yang terhubung memiliki banyak area permukaan interaksi potensial dan pola interaksi, yang semuanya harus dipertimbangkan untuk menyediakan kerangka kerja guna mengamankan akses digital ke perangkat tersebut. Istilah "akses digital" digunakan di sini untuk membedakan setiap operasi yang dilakukan melalui interaksi perangkat langsung di mana keamanan akses disediakan melalui kontrol akses fisik. Misalnya, memasukkan perangkat ke dalam ruangan dengan kunci di pintu. Meskipun akses fisik tidak dapat ditolak menggunakan perangkat lunak dan perangkat keras, tindakan dapat diambil guna mencegah akses fisik yang dapat menyebabkan gangguan sistem.

Saat Anda menjelajahi pola interaksi, lihat "kontrol perangkat" dan "data perangkat" dengan tingkat perhatian yang sama. "Kontrol perangkat" dapat diklasifikasikan sebagai informasi apa pun yang diberikan kepada perangkat oleh pihak mana pun dengan tujuan mengubah atau memengaruhi perilakunya terhadap keadaannya atau keadaan lingkungannya. "Data perangkat" dapat diklasifikasikan sebagai informasi apa pun yang dipancarkan perangkat kepada pihak lain tentang keadaannya dan keadaan lingkungannya yang diamati.

Untuk mengoptimalkan keamanan dengan cara terbaik, disarankan agar arsitektur IoT umum dibagi menjadi beberapa komponen/zona sebagai bagian dari latihan pemodelan ancaman. Zona ini dijelaskan sepenuhnya di seluruh bagian ini dan mencakup:

·         Perangkat,

·         Gateway bidang,

·         Gateway cloud, dan

·         Layanan.

Zona adalah cara yang luas untuk mengelompokkan solusi; setiap zona sering kali memiliki data dan autentikasi dan persyaratan otorisasi sendiri. Zona juga dapat digunakan untuk mengisolasi kerusakan dan membatasi dampak zona kepercayaan rendah pada zona kepercayaan yang lebih tinggi.

Setiap zona dipisahkan oleh Batas Kepercayaan, yang nampak sebagai garis merah putus-putus dalam diagram berikut. Hal ini mewakili transisi data/informasi dari satu sumber ke sumber lain. Selama transisi ini, data/informasi dapat dikenakan Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service dan Elevation of Privilege (STRIDE).