布鲁斯·施奈尔在他的文章安全心理学
Posted: Mon Feb 17, 2025 6:51 am
透过玻璃看
[2]中评论说,安全既是一种现实,也是一种感知。是否实施保障措施的决定基于一套标准体系,该体系指导我们做出有关安全的决策,并且受到人性的强烈影响。
我们总是无意识地做出安全决策。例如,我们决定哪条路线去上班最安全,我们在陌生的地方停车时使用方向盘防盗杆,我们选择不使用看起来老旧且无人照管的电梯。进化使我们的大脑具备了必要的回路,这样我们就不必费力去权衡风险并在所有这些选项之间做出选择。然而,这个有机固件所在的区域是大脑中非常原始的区域,不幸的是,在现代化给我们带来的许多情况下它是无用的。
威胁建模
几乎所有信息安全标准和最佳实践都表明,任何安全加强举措都始于识别、评估和处理与计算机系统或服务相关的风险。
卓越代码软件保障论坛 (SAFECode) 组织在其出版物“安全软件开 开曼群岛 WhatsApp 号码列表 发的基本实践” [3] 中报告称,最常用的实践是威胁建模。这项活动包括在项目设计阶段进行练习,其中数据流由一个团队分析,以确定系统的薄弱环节并确定潜在攻击者可能利用这些点的情景。
下面我解释一些最常用的威胁建模技术。
STRIDE
欺骗、篡改、否认、信息泄露、拒绝服务和特权提升。
该技术包括逐一检查系统的每个组件,并确定它是否容易受到以下任何群体的威胁:欺骗(身份盗窃)、篡改(恶意修改数据)、否认(不承认某一行为)、信息泄露(信息泄露)、拒绝服务(拒绝服务)、特权提升(特权提升)。如您所见,首字母缩略词 STRIDE 是由每个组名称的首字母组成的。
[2]中评论说,安全既是一种现实,也是一种感知。是否实施保障措施的决定基于一套标准体系,该体系指导我们做出有关安全的决策,并且受到人性的强烈影响。
我们总是无意识地做出安全决策。例如,我们决定哪条路线去上班最安全,我们在陌生的地方停车时使用方向盘防盗杆,我们选择不使用看起来老旧且无人照管的电梯。进化使我们的大脑具备了必要的回路,这样我们就不必费力去权衡风险并在所有这些选项之间做出选择。然而,这个有机固件所在的区域是大脑中非常原始的区域,不幸的是,在现代化给我们带来的许多情况下它是无用的。
威胁建模
几乎所有信息安全标准和最佳实践都表明,任何安全加强举措都始于识别、评估和处理与计算机系统或服务相关的风险。
卓越代码软件保障论坛 (SAFECode) 组织在其出版物“安全软件开 开曼群岛 WhatsApp 号码列表 发的基本实践” [3] 中报告称,最常用的实践是威胁建模。这项活动包括在项目设计阶段进行练习,其中数据流由一个团队分析,以确定系统的薄弱环节并确定潜在攻击者可能利用这些点的情景。
下面我解释一些最常用的威胁建模技术。
STRIDE
欺骗、篡改、否认、信息泄露、拒绝服务和特权提升。
该技术包括逐一检查系统的每个组件,并确定它是否容易受到以下任何群体的威胁:欺骗(身份盗窃)、篡改(恶意修改数据)、否认(不承认某一行为)、信息泄露(信息泄露)、拒绝服务(拒绝服务)、特权提升(特权提升)。如您所见,首字母缩略词 STRIDE 是由每个组名称的首字母组成的。