Innebygd informasjonssikkerhet Flashcards
Hvilken faser kan vi beskrive programvareutviklingsprosessen med?
- Opplæring
- Krav (til informasjonssikkerhet og personvern)
- Design (sikker design)
- Koding (sikker koding)
- Test (Sikkerhetstesting)
- Produksjonssetting
- Forvaltning
Hva er trusselmodellering?
Det går ut på å finne de mest relevante måtene et system kan misbrukes og
angripes på (for å kunne beskytte seg mot disse angrepene).
I trusselmodelleringen må et utviklingsteam må identifisere relevante
trusselscenarioer.
Hva er STRIDE?
STRIDE er et populært rammeverk utviklet av Microsoft.
Hvilken kategorier er beskrevet i STRIDE?
Spoofing
Tampering
Repudiation
Information disclosure
Denial of service
Elevation of privilege
Hvilken sårbarheter finner vi i OWASP Top 10 (2017)?
- Injection
- Broken Authentication
- Sensitive Data Exposure
- XML External Entitites (XXE)
- Broken Access Control
- Security Misconfiguration
- Cross-Site Scripting (XSS)
- Insecure Deserialization
- Using Components with Known
Vulnerabilities - Insufficient Logging & Monitoring
OWASP Top 10 - 2021: 1. Broken Access Control 2. Cryptographic Failures 3. Injection 4. Insecure Design 5. Security Misconfiguration 6. Vulnerable and Outdated Components 7. Identification and Authentication Failures 8. Software and Data Integrity Failures 9. Security Logging and Monitoring Failures 10. Server-Side Request Forgery (SSRF)
Hva er spoofing iht. STRIDE rammeverket?
Spoofing -> Identitetstyveri
- Kan en angriper få uautorisert tilgang ved å stjele en annens identitet?
- Brudd på autentisitet.
Hva er tampering iht. STRIDE rammeverket?
Tampering -> Kompromittering
- Kan en angriper endre data som prosesseres av systemet?
- Brudd på integritet.
Hva er repudiation iht. STRIDE rammeverket?
Repudiation -> Avvisning
- Kan en angriper benekte misbruk, uten at vi kan bevise misbruket?
- Brudd på uavviselighet.
Hva er information disclosure iht. STRIDE rammeverket?
Information Disclosure -> Datatyveri og -lekkasje
- Kan en angriper få tilgang til konfidensielle og personlige data?
- Brudd på konfidensialitet.
Hva er denail of service iht. STRIDE rammeverket?
Denial of service -> Tjenestenekt
- Kan en angriper blokkere eller minske tilgjengligheten av systemet?
- Brudd på tilgjenglighet.
Hva er elevation of privilege iht. STRIDE rammeverket?
Elevation of privilege -> Utvidede tilganger
- Kan en angriper oppnå utvidede tilganger som en privilegert bruker?
- Brudd på tilgangskontroll.