软件架构与设计分析
什么是架构与设计
构与设计实践通过安全控制分析、深入评估和缓解支持等服务,识别缺失或薄弱的安全控制措施,了解安全设计最佳实践,并减轻可能增加违规风险的安全漏洞
保障:
l 根据行业最佳实践评估关键安全控制的设计,以确定是否存在错误配置,弱化,误用或丢失。
l 威胁建模可识别造成伤害的威胁代理类型,并采用恶意黑客的视角来了解他们可以造成多大的破坏。我们超越了典型的攻击预设列表来思考可能没有被考虑过的新攻击或攻击。
威胁建模通过识别以下内容来定义整个攻击面:
- 固定攻击之外的威胁标准攻击并不总是对您的系统造成风险。执行威胁模型以识别系统构建方式所特有的攻击。
- 威胁代理相对于体系结构存在的位置模拟威胁代理的位置,动机,技能和能力,以确定潜在攻击者与系统体系结构相关的位置。
- 前N个列表,攻击者和世界末日场景创建和更新威胁模型,以使框架优先于与您的应用程序相关的内部或外部攻击者。
- 需要额外保护的组件突出显示资产,威胁代理和控制,以确定攻击者最有可能定位的组件。
l 在软件开发生命周期(SDLC)中找到并修复安全问题,这比等待代码编写或执行QA测试更便宜,更具侵入性和耗时。但是,即使您已经构建或部署了系统,ARA也非常有价值