Che cos'è il modello di minaccia STRIDE?

Recenti violazioni della sicurezza di alto profilo hanno dimostrato che le misure di sicurezza reattive non sono sufficienti. Una corretta modellazione delle minacce potrebbe aver impedito alcune di queste violazioni. Il modello di minacce STRIDE, sviluppato da Microsoft, è emerso come uno dei framework più efficaci per la pianificazione proattiva della sicurezza. L'acronimo STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service (DoS) ed Elevation of Privilege) è un approccio sistematico alla sicurezza che aiuta i team di sviluppo a pensare come gli autori degli attacchi per proteggere i loro sistemi prima che si verifichino violazioni.

Le 6 categorie di STRIDE

Il modello STRIDE classifica le minacce in sei tipi, ciascuno dei quali affronta un aspetto diverso dei rischi per la sicurezza del software:

• Spoofing: Considera lo spoofing come un furto di identità digitale. Si riferisce alla rappresentazione di un altro utente o componente di sistema per ottenere un accesso non autorizzato. Gli attacchi di spoofing compromettono i meccanismi di autenticazione, consentendo agli autori degli attacchi di mascherarsi come utenti o dispositivi legittimi.

• Manomissione: La manomissione è l'alterazione non autorizzata di dati o codice. Tali attacchi possono compromettere l'integrità dei dati modificando file, database, codice software, pipeline di deployment o memoria nelle applicazioni in esecuzione. La manomissione comporta gravi rischi in ogni sistema, in particolare quelli in cui la precisione dei dati è cruciale per il processo decisionale.

• Rifiuto: Le minacce al ripudio sfruttano le carenze di responsabilità. Questo tipo di minaccia alla sicurezza si verifica quando un utente o un sistema nega di eseguire una determinata azione, come una transazione. Questa minaccia sfrutta la mancanza di controlli di non ripudio nei sistemi software, rendendo difficile ritenere le parti responsabili delle loro azioni.

• Divulgazione delle informazioni: Si riferisce all'esposizione involontaria di informazioni riservate o sensibili a parti non autorizzate. Può derivare da crittografia inadeguata, controlli degli accessi inappropriati o vulnerabilità nelle applicazioni web.

• Denial of Service (DoS): Questa categoria di minacce alla sicurezza ha lo scopo di interrompere la disponibilità dei servizi sovraccaricando il sistema con richieste eccessive o sfruttando le vulnerabilità del sistema. Gli attacchi DoS rendono i sistemi non disponibili agli utenti legittimi e causano interruzioni delle attività aziendali.

• Elevazione del privilegio: Ciò si verifica quando un utente malintenzionato ottiene un accesso di livello superiore a quello previsto, spesso sfruttando una vulnerabilità del sistema. Ciò può portare a un controllo a livello amministrativo su un sistema, consentendo all'autore dell'attacco di installare software dannoso, modificare le configurazioni di sistema o accedere ai dati sensibili.

Spoofing

Lo spoofing è l'atto di impersonare un altro dispositivo o utente per ingannare sistemi o persone. Ciò può comportare la falsificazione delle informazioni di identità, come indirizzi IP o intestazioni di e-mail. La minaccia rappresentata dallo spoofing è significativa, in quanto può portare a accessi non autorizzati, violazioni dei dati e manipolazione delle informazioni. Quando gli autori degli attacchi violano le identità, possono facilmente aggirare le misure di sicurezza progettate per proteggere i sistemi sensibili. Esempi comuni di attacchi di spoofing includono lo spoofing delle e-mail, in cui gli autori degli attacchi inviano messaggi che sembrano provenire da una fonte affidabile, e lo spoofing IP, che può consentire agli utenti malintenzionati di eludere il rilevamento. Il potenziale impatto di questi attacchi può variare da perdite finanziarie e danni alla reputazione a dati personali compromessi.

Manomissione

La manomissione si riferisce all'alterazione non autorizzata dei dati o delle configurazioni di sistema, che può includere la modifica dei file, la modifica del codice software o l'interferenza con i dati in transito. In questo modo si mina l'integrità dei sistemi software, introducendo dati errati o dannosi che possono portare a comportamenti o decisioni erronee. Tali alterazioni compromettono la fiducia degli utenti e possono violare le normative di conformità. Un esempio di manomissione si verifica quando un utente malintenzionato modifica il contenuto di un aggiornamento software o manipola i record delle transazioni in un database. Le ripercussioni di questi attacchi possono essere gravi, con conseguenti perdite finanziarie, conseguenze legali e danni significativi alla reputazione di un marchio.

Rifiuto

Nella sicurezza informatica, il rifiuto descrive la capacità di un utente di negare di aver eseguito un'azione all'interno di un sistema, spesso a causa della mancanza di prove o registri affidabili. Ciò comporta difficoltà di responsabilità e non ripudio, rendendo difficile risalire alle azioni degli utenti.  Il ripudio può essere particolarmente problematico nei sistemi di e-commerce, finanziari o legali, dove i registri delle transazioni devono essere affidabili. Ad esempio, quando un utente dichiara di non aver autorizzato una transazione, l'assenza di una registrazione sufficiente può ostacolare le indagini e l'applicazione delle policy di sicurezza. L'impatto di tali attacchi di ripudio può causare controversie sulle transazioni, maggiori opportunità di frode e protocolli di sicurezza indeboliti, tutti fattori che possono compromettere l'integrità complessiva di un sistema.

Divulgazione delle informazioni

La divulgazione delle informazioni comporta l'accesso o l'esposizione non autorizzati di dati sensibili a persone fisiche o giuridiche non destinate a riceverli. Questo accesso non autorizzato costituisce una grave minaccia, in quanto può portare a furto di identità, spionaggio aziendale e violazioni delle normative sulla privacy. La riservatezza dei dati è compromessa, il che può avere ripercussioni durature sia per le persone che per le organizzazioni. La divulgazione delle informazioni si manifesta spesso in attacchi side-channel nei microservizi, esposizioni a configurazioni errate nel cloud, perdita di informazioni API e attacchi di temporizzazione della cache. Gli obiettivi comuni della divulgazione delle informazioni includono i dati personali, i segreti commerciali e la proprietà intellettuale, che possono portare a sanzioni normative e danni alla reputazione.

Esempi di attacchi alla divulgazione delle informazioni includono le violazioni dei dati che causano la divulgazione di informazioni sensibili dei clienti o lo storage cloud mal configurato che espone i dati privati. I potenziali impatti sono significativi, che includono perdite finanziarie, responsabilità legali e un impatto devastante sulla fiducia dei consumatori.

Denial of Service

Il termine Denial of Service (DoS) si riferisce a un attacco volto a rendere un servizio non disponibile agli utenti previsti, sovraccaricandolo di traffico o sfruttando vulnerabilità. Tali attacchi interrompono la disponibilità dei sistemi software, rendendoli inaccessibili agli utenti legittimi. Le conseguenze possono includere downtime, perdita di fatturato e danni alla reputazione di un'organizzazione. Un esempio comune di attacco DoS è un attacco DDoS (Distributed Denial of Service), in cui più sistemi inondano un server di destinazione di traffico. L'impatto di questi attacchi può essere notevole, con conseguenti interruzioni operative e costi finanziari significativi che potrebbero richiedere molto tempo per il ripristino.

Elevazione del privilegio

L'elevazione dei privilegi descrive una vulnerabilità della sicurezza che consente a un utente di ottenere accesso non autorizzato a funzioni o dati di livello superiore all'interno di un sistema. Questo tipo di accesso costituisce una grave minaccia, consentendo agli autori degli attacchi di manipolare dati sensibili, eseguire comandi amministrativi o compromettere l'integrità del sistema. Ad esempio, un aumento dell'attacco ai privilegi può comportare lo sfruttamento delle vulnerabilità software per ottenere i diritti di amministratore o l'utilizzo di tattiche di ingegneria sociale per indurre gli utenti a concedere un accesso elevato. Il potenziale impatto di tali attacchi può essere profondo, con conseguenti violazioni dei dati, danneggiamento dei sistemi e gravi danni alla sicurezza dell'organizzazione, rendendo essenziale per le organizzazioni dare priorità a misure di sicurezza efficaci.

Implementazione di STRIDE

Possiamo classificare in modo ampio l'implementazione della modellazione delle minacce con STRIDE nelle seguenti fasi:

Fase 1: Decomposizione del sistema

Suddividi l'architettura software in componenti distinti, come server, database, API e interfacce utente. Questo aiuta a individuare i punti di ingresso e gli asset che le minacce possono colpire.

1. Creare un diagramma di flusso dei dati (DFD) del sistema.
2. Identifica i confini della fiducia.
3. Mappa i componenti di sistema e le loro interazioni.
4. Documenta i punti di autenticazione e autorizzazione.

Fase 2: Analisi delle minacce

Per ogni componente identificato, analizza le potenziali minacce in base alle categorie STRIDE. Ad esempio, valuta se i meccanismi di autenticazione sono vulnerabili allo spoofing o se i metodi di data storage possono essere soggetti a manomissione.

Per ogni componente:

1. Applica le categorie STRIDE.
2. Usa gli alberi delle minacce per identificare i vettori di attacco.
3. Considera l'impatto sul business.
4. Documenta ipotesi e dipendenze.

Fase 3: Pianificazione della mitigazione

Per ogni minaccia, sviluppa i controlli di sicurezza corrispondenti. Le tecniche possono includere l'applicazione di un'autenticazione avanzata per prevenire lo spoofing, l'uso di firme digitali per proteggersi da manomissioni o l'implementazione di una limitazione della velocità per proteggersi dagli attacchi DoS.

Creare una strategia di mitigazione che includa quanto segue:

1. Controlli tecnici
2. Protezioni procedurali
3. Requisiti di monitoraggio
4. Procedure di risposta agli incidenti

Strumenti moderni per l'implementazione di STRIDE

Strumenti commerciali

• Microsoft Threat Modeling Tool: Questo strumento consente agli utenti di creare rappresentazioni visive dei sistemi software e identificare le minacce in base al framework STRIDE.
• IriusRisk: Questo strumento offre funzionalità automatizzate di modellazione delle minacce e valutazione dei rischi, consentendo l'integrazione con i workflow di sviluppo esistenti.
• ThreatModeler: Questo strumento di modellazione delle minacce cloud-native facilita l'identificazione e la valutazione delle minacce alla sicurezza nei progetti architettonici, consentendo la collaborazione e l'integrazione nei processi di sviluppo.

Alternative open source

• Minacce OWASP: Questo strumento di modellazione delle minacce open source supporta la creazione di diagrammi dell'architettura software e la valutazione delle minacce alla sicurezza.
• PyTM: Questo framework basato su Python per la modellazione delle minacce consente agli utenti di definire i sistemi e le loro potenziali minacce in modo programmatico, semplificando l'automazione e l'integrazione nei workflow di sviluppo esistenti.
• ThreatSpec: Questo strumento di modellazione delle minacce Infrastructure-as-Code migliora la sicurezza consentendo agli utenti di definire e analizzare i rischi di sicurezza direttamente all'interno del proprio codice, semplificando l'identificazione delle vulnerabilità nel cloud e negli ambienti on-premise.

Vantaggi del modello di minaccia STRIDE

Nel settore bancario, il modello STRIDE viene utilizzato per identificare potenziali minacce alle applicazioni di online banking. Categorizzando minacce come lo spoofing e la divulgazione delle informazioni, le banche possono implementare misure come l'autenticazione multifattore e la crittografia per proteggere i dati dei clienti. Analogamente, nel settore sanitario, gli ospedali utilizzano il framework STRIDE per proteggere le informazioni dei pazienti memorizzate nelle cartelle cliniche elettroniche (EHR). Questa modellazione delle minacce aiuta a proteggere i canali di trasmissione dei dati e garantisce che solo il personale autorizzato possa accedere alle informazioni sensibili. I cloud service provider sfruttano STRIDE anche per valutare le minacce negli ambienti multi-tenant, identificando rischi come la manomissione e l'aumento dei privilegi. In questo modo, possono implementare rigorosi controlli degli accessi e crittografia per isolare efficacemente i dati dei clienti.

Il modello di minaccia STRIDE offre diversi vantaggi per lo sviluppo software e la sicurezza informatica, come:

• Sicurezza proattiva: L'identificazione precoce delle minacce nell'SLC consente l'integrazione delle misure di sicurezza prima del deployment, riducendo la probabilità di sfruttamento delle vulnerabilità in produzione.
• Valutazione completa dei rischi: Le sei categorie di minacce coprono vari aspetti della sicurezza, garantendo una valutazione olistica del livello di sicurezza del software.
• Maggiore consapevolezza della sicurezza: Utilizzando STRIDE, i team di sviluppo acquisiscono una comprensione più approfondita dei rischi potenziali, promuovendo una cultura incentrata sulla sicurezza all'interno dell'organizzazione.
• Riduzione dei costi: La gestione dei problemi di sicurezza durante la fase di progettazione è in genere meno costosa rispetto alla correzione delle vulnerabilità dopo il deployment. STRIDE consente alle organizzazioni di implementare tempestivamente contromisure efficaci, risparmiando tempo e risorse.
• Miglioramento della conformità normativa: Per i settori che richiedono un rigoroso rispetto delle leggi e degli standard in materia di data protection (ad es. GDPR, HIPAA), l'uso di STRIDE può aiutare a dimostrare l'impegno verso la sicurezza e la gestione dei rischi.

Conclusione

La modellazione delle minacce, un sottoinsieme del rilevamento delle minacce, aiuta i team di sicurezza a tenere il passo con la crescente quantità e sofisticatezza degli attacchi. Man mano che i sistemi diventano più complessi e le minacce più sofisticate, l'approccio strutturato di STRIDE diventa sempre più prezioso. Le organizzazioni devono adattare l'implementazione di STRIDE per affrontare le minacce emergenti, mantenendo al contempo i principi fondamentali di identificazione e mitigazione sistematiche delle minacce. Comprendendo e implementando correttamente STRIDE, le organizzazioni possono proteggere meglio le proprie risorse, mantenere la fiducia dei clienti e garantire la business continuity in un panorama digitale sempre più ostile.

Grazie alla sua architettura Evergreen®, Pure Storage offre soluzioni di storage e calcolo che mettono la sicurezza al primo posto con ActiveDR™, ActiveCluster™ e SafeMode™ Snapshots, solo per citarne alcune. Queste soluzioni aiutano a implementare correttamente framework di sicurezza come STRIDE, fornendo la tecnologia sottostante per garantire che le pratiche definite dal modello siano efficaci e efficaci.