Innebygd informasjonssikkerhet Flashcards

1
Q

Hvilken faser kan vi beskrive programvareutviklingsprosessen med?

A
  1. Opplæring
  2. Krav (til informasjonssikkerhet og personvern)
  3. Design (sikker design)
  4. Koding (sikker koding)
  5. Test (Sikkerhetstesting)
  6. Produksjonssetting
  7. Forvaltning
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Hva er trusselmodellering?

A

Det går ut på å finne de mest relevante måtene et system kan misbrukes og
angripes på (for å kunne beskytte seg mot disse angrepene).

I trusselmodelleringen må et utviklingsteam må identifisere relevante
trusselscenarioer.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Hva er STRIDE?

A

STRIDE er et populært rammeverk utviklet av Microsoft.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Hvilken kategorier er beskrevet i STRIDE?

A

Spoofing

Tampering

Repudiation

Information disclosure

Denial of service

Elevation of privilege

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Hvilken sårbarheter finner vi i OWASP Top 10 (2017)?

A
  1. Injection
  2. Broken Authentication
  3. Sensitive Data Exposure
  4. XML External Entitites (XXE)
  5. Broken Access Control
  6. Security Misconfiguration
  7. Cross-Site Scripting (XSS)
  8. Insecure Deserialization
  9. Using Components with Known
    Vulnerabilities
  10. Insufficient Logging & Monitoring
OWASP Top 10 - 2021:
1. Broken Access Control
2. Cryptographic Failures
3. Injection
4. Insecure Design
5. Security Misconfiguration
6. Vulnerable and Outdated Components
7. Identification and Authentication Failures
8. Software and Data Integrity Failures 
9. Security Logging and Monitoring 
     Failures
10. Server-Side Request Forgery (SSRF)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Hva er spoofing iht. STRIDE rammeverket?

A

Spoofing -> Identitetstyveri

  • Kan en angriper få uautorisert tilgang ved å stjele en annens identitet?
  • Brudd på autentisitet.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Hva er tampering iht. STRIDE rammeverket?

A

Tampering -> Kompromittering

  • Kan en angriper endre data som prosesseres av systemet?
  • Brudd på integritet.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Hva er repudiation iht. STRIDE rammeverket?

A

Repudiation -> Avvisning

  • Kan en angriper benekte misbruk, uten at vi kan bevise misbruket?
  • Brudd på uavviselighet.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Hva er information disclosure iht. STRIDE rammeverket?

A

Information Disclosure -> Datatyveri og -lekkasje

  • Kan en angriper få tilgang til konfidensielle og personlige data?
  • Brudd på konfidensialitet.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Hva er denail of service iht. STRIDE rammeverket?

A

Denial of service -> Tjenestenekt

  • Kan en angriper blokkere eller minske tilgjengligheten av systemet?
  • Brudd på tilgjenglighet.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Hva er elevation of privilege iht. STRIDE rammeverket?

A

Elevation of privilege -> Utvidede tilganger

  • Kan en angriper oppnå utvidede tilganger som en privilegert bruker?
  • Brudd på tilgangskontroll.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly