STRIDE
Prozess um Softwaresicherheitsrisiken zu modellieren, der für Spoofing, Tampering, Repudiation, Information disclosure, Denial of service und Elevation of privilege steht
STRIDE ist ein Modell von Sicherheitsrisiken, das von Praerit Garg und Loren Kohnfelder bei Microsoft entwickelt wurde[1][2] STRIDE unterscheidet folgende 6 Kategorien an Sicherheitsrisiken:[3]
- Spoofing (Identitätsverschleierung)
- Tampering (Manipulation)
- Repudiation (Verleugnung)
- Information disclosure (Verletzung der Privatsphäre oder Datenpanne)
- Denial of service (Verweigerung des Dienstes)
- Elevation of privilege (Rechteausweitung)[4]
STRIDE wurde ursprünglich als Teil der Prozesse rund um "threat modeling" erstellt. Es handelt sich um ein Modell, das dazu dient, Bedrohungen für ein System zu erkennen. Dazu gehört eine vollständige Aufschlüsselung der Prozesse, Datenspeicher, Datenflüsse und Vertrauensgrenzen.
STRIDE wird häufig von Sicherheitsexperten verwendet, um die Frage zu beantworten: "Was kann in dem System, an dem wir arbeiten, schief gehen?"
Siehe auch
BearbeitenEinzelnachweise
Bearbeiten- ↑ Adam Shostack: "The Threats To Our Products". In: Microsoft SDL Blog. Microsoft, abgerufen am 18. August 2018.
- ↑ Loren Kohnfelder, Praerit Garg: The threats to our products. In: Microsoft Interface. 1. April 1999 (shostack.org [abgerufen am 18. August 2018]).
- ↑ The STRIDE Threat Model. In: Microsoft. Microsoft
- ↑ Aaron Guzman, Aditya Gupta: IoT Penetration Testing Cookbook: Identify Vulnerabilities and Secure your Smart Devices. Packt Publishing, 2017, ISBN 978-1-78728-517-0, S. 34–35.