Model vyvinul Praerit Garg a Loren Kohnfelder ve společnosti Microsoft. Klasifikační schéma STRIDE slouží k odhalení možných slabin informačního systému. Popisuje šest kategorií hrozeb. Jeho smyslem není ani tak kategorizace hrozeb, ale tento přístup má sloužit k odhalení potenciálních útoků1. Díváme se na každou komponentu systému z pohledu těchto kategoriíí:
- Spoofing of Identity (podvržení identity).
- Tampering with Data (neautorizované pozměnění dat).
- Repudiation (popření transakce uživatelem).
- Information Disclosure (únik informací).
- Denial of Service (odepření služby).
- Elevation of Privilege (úrovně oprávnění).
Spoofing
Jde o narušení autentizace.
Využití
Je zásadní pro více uživatelské aplikace a databázové systémy.
Obrana
- Používejte správnou autentizaci
- Chraňte citlivá data
- Neukládejte tajemství
Tampering
Narušena integrita, tzn. nezměnitelnost dat.
Využití
Zejména u webových aplikaci hrozí, že uživatelé pozmění data v GET a POST požadavcích, uložené cookies, HTTP hlavičky, atd.
Obrana
- Používejte autorizaci
- Používejte hashování, MAC, digitální podpisy
- Používejte protokoly odolné proti pozměnění
Repudiation
Narušena nepopiratelnost.
Využití
U systémů s nedostatečným logováním hrozí popření transakce uživatelem. Schopnost uživatele popřít, že nějakou akci progedl.
Obrana
- Digitální podpisy
- Časové otisky
- Auditové záznamy
Information disclosure
Narušena důvěrnost.
Obrana
- Autorizace
- Protokoly s rozšířeným soukromím
- Šifrování
- Ochrana tajemství
- Neukládejte tajemství
Denial of service
Narušena dostupnost. K odepření často dochází zahlcením dané služby požadavky.
Obrana
- Vhodná autentizace
- Vhodná autorizace
- Filtrování
- Throttling
- Quality of Service
Elevation of privilege
Narušena autorizace.
Obrana
- Běh s nejnižšmi oprávněními
-
SHOSTACK, Adam. Threat modeling: Designing for security. John Wiley & Sons, 2014. ISBN 978-1-118-80999-0. ↩