إجراء نمذجة التهديدات
الوصف
إجراء نمذجة التهديدات. نمذجة التهديدات هي عملية تحديد وفهم المخاطر الأمنية المحتملة وتأثيرها على التطبيق وكيفية التخفيف منها.
قائمة التحقق من التطبيق
توصيات الأدوات
منصة أمان التطبيقات مع اختبار الأمان الثابت والديناميكي وتحليل تكوين البرمجيات وتدريب المطورين على التطوير الآمن للبرمجيات
Veracode · اشتراك لكل تطبيق
منصة سحابية أصلية لأمان التطبيقات مع اختبار الأمان الثابت وتحليل تكوين البرمجيات واختبار الأمان الديناميكي وأمان واجهات برمجة التطبيقات واختبار أمان سلسلة التوريد
Checkmarx · اشتراك لكل مطور
مجموعة اختبار أمان التطبيقات مع اختبار الأمان الثابت وتحليل تكوين البرمجيات واختبار الأمان الديناميكي لأمان تطبيقات شامل
Synopsys · اشتراك لكل مطور
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
استغلال عيب تصميم بنيوي بعد النشر
السريةيستغل مهاجم عيب تصميم أساسي في بنية التطبيق، مثل حد ثقة غير آمن، كان سيتم تحديده أثناء نمذجة التهديدات لكنه لم يُحلل أبداً قبل كتابة الكود.
نقاط دخول غير محددة يستفيد منها المهاجم
السلامةيكتشف مهاجم ويستغل نقطة دخول مغفلة في التطبيق لم يفكر فيها فريق التطوير لأنه لم تُرسم نمذجة تهديدات منظمة جميع أسطح الهجوم ومستويات الوصول.
إعادة تصميم مكلفة بعد النشر لعيب أمني
التوفريُكتشف ضعف أمني أساسي في الإنتاج يتطلب إعادة تصميم بنيوي كاملة، وكان سيكون تافهاً إصلاحه أثناء التصميم لو حددته نمذجة التهديدات قبل بدء التطوير.
الثغرات (عند غياب الإجراء الوقائي)
عدم وجود تحليل تهديدات قبل التطوير
بدون نمذجة التهديدات قبل كتابة الكود، تُدمج نقاط الضعف الأمنية البنيوية وحدود الثقة غير الآمنة ونقاط الدخول غير المحمية في التصميم وتكون مكلفة المعالجة لاحقاً.
عدم رسم سطح الهجوم بشكل منهجي
يعني غياب نمذجة التهديدات أن نقاط دخول التطبيق وتدفقات البيانات وحدود الثقة ومستويات الوصول لا تُحلل رسمياً لمخاطر الأمان، تاركة نقاطاً عمياء في الوضعية الأمنية.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |