पिछले महीने एक शुक्रवार की शाम, तीन सुरक्षा विशेषज्ञ ताश खेलने और खतरे के मॉडलिंग के भविष्य के बारे में बात करने के लिए ऑनलाइन मिले। उन्होंने जो खेल खेले, OWASP कॉर्नुकोपिया तथा विशेषाधिकार का उन्नयन (ईओपी), डेवलपर्स, आर्किटेक्ट्स और सुरक्षा विशेषज्ञों को संभावित जोखिमों की जांच करने और उन्हें महत्व के अनुसार रैंक करने में मदद करने के लिए हैं।

महामारी की चपेट में आने और टीमों ने दूर से काम करना शुरू करने के बाद से संगठनों को अपने खतरे के मॉडल की पहचान करने में मदद करना चुनौतीपूर्ण हो गया है। सुरक्षा पर चर्चा करने के लिए ऑनलाइन बैठकें पर्याप्त प्रभावी और मज़ेदार नहीं थीं, कहते हैं टोबी इरविन तथा ग्रांट ओंगर्स, सुरक्षित वितरण के संस्थापक। उन्होंने इसे संबोधित करने के लिए ओडब्ल्यूएएसपी कॉर्नुकोपिया का एक ऑनलाइन संस्करण एक साथ रखा और प्रमुख विशेषज्ञ को आमंत्रित किया एडम शोस्टैक एक खेल के लिए उनसे जुड़ने के लिए। शोस्टैक ने 2010 में माइक्रोसॉफ्ट में रहते हुए विशेषाधिकार का उन्नयन बनाया और इसका उपयोग टीमों को संभावित सुरक्षा जोखिमों की पहचान करने में मदद करने के लिए किया।

“हमें यह समस्या थी कि हम सभी के लिए सुरक्षा कैसे बढ़ाएँ,” शोस्टैक कहते हैं। “और मेरे पास पहला जवाब एक सॉफ्टवेयर टूल था। और सॉफ्टवेयर टूल, ईमानदारी से, थकाऊ था। इतनी लंबी कहानी छोटी, मैंने पूछा: थकाऊ के विपरीत क्या है? यह मजेदार है। और मजेदार क्या है? गेम्स। चलो इसे बनाते हैं एक खेल।”

कॉर्नुकोपिया और एलीवेशन ऑफ प्रिविलेज दोनों डेवलपर्स को “सही संदर्भ, सही उपकरण और समस्या के बारे में सोचने के लिए सही स्थान” प्रदान करते हैं, जो खतरे की मॉडलिंग को “होने की अधिक संभावना” बनाता है, ओंगर्स कहते हैं।

और इरविन सहमत हैं, “हम एक दूसरे के साथ सिर्फ ऑटोमेटन के रूप में व्यवहार नहीं कर सकते।”

खिलाड़ी तैयार हैं – खेल, और खतरे के मॉडलिंग के आसपास दार्शनिक बहस शुरू हो सकती है।

कार्ड्स को टेबल पर रखना
माउस कुंजी के क्लिक पर, इरविन शुरू करता है कॉर्नुकोपिया का ऑनलाइन संस्करण, जो अभी भी बीटा में है। वह ओन्जर्स और शोस्टैक को एक्सेस करने के लिए वीडियो कॉल के अंदर लिंक डालता है। डेक में छह प्रकार के कार्ड होते हैं: डेटा सत्यापन और एन्कोडिंग, प्रमाणीकरण, सत्र प्रबंधन, प्राधिकरण, क्रिप्टोग्राफी, और कॉर्नुकोपिया – उन सभी कार्डों को समायोजित करने के लिए बनाई गई एक श्रेणी जो कहीं और फिट नहीं थे। पोकर के समान, प्रत्येक सूट में 13 कार्ड (ऐस, 2-10, जैक, क्वीन और किंग) होते हैं, और दो जोकर भी होते हैं: ऐलिस और बॉब।

“ए जोकर, ऐलिस, इस बारे में है कि कैसे हमलावर आपके उपयोगकर्ताओं पर हमला करने के लिए आपके सिस्टम का दुरुपयोग कर सकते हैं,” ओंगर्स कहते हैं। “और बी जोकर, बॉब, सभी नियामक मुद्दों के बारे में है। जीडीपीआर अब इसे एक आसान हमला बनाता है।”

उस शुक्रवार की शाम, धमकी मॉडलिंग अभ्यास का निर्माण कॉर्नुकोपिया इरविन के ऑनलाइन संस्करण पर हुआ, इसलिए उसे पहला कार्ड खेलने की अनुमति दी गई। उन्होंने सत्र प्रबंधन के 6 को चुना: “गैरी उपयोगकर्ता के सत्र को संभाल सकता है क्योंकि एक लंबा या कोई निष्क्रियता समयबाह्य नहीं है, या एक लंबी या कोई समग्र सत्र समय सीमा नहीं है, या एक ही सत्र का उपयोग एक से अधिक डिवाइस/स्थान से किया जा सकता है ।”

ओंगर्स सत्र प्रबंधन के 8 के साथ अनुसरण करते हैं: “मैट लंबे सत्रों का दुरुपयोग कर सकता है क्योंकि आवेदन को आवधिक पुन: प्रमाणीकरण की आवश्यकता नहीं है यह जांचने के लिए कि विशेषाधिकार बदल गए हैं या नहीं।”

अंत में, शोस्टैक उसी सूट में से 5 को चुनता है, जिसमें लिखा है: “जॉन सत्र पहचानकर्ताओं की भविष्यवाणी या अनुमान लगा सकता है क्योंकि जब उपयोगकर्ता की भूमिका बदलती है (उदाहरण के लिए पूर्व और बाद प्रमाणीकरण) और गैर-एन्क्रिप्टेड और एन्क्रिप्टेड संचार के बीच स्विच करते समय वे नहीं बदले जाते हैं , या पर्याप्त रूप से लंबे और यादृच्छिक नहीं हैं, या समय-समय पर परिवर्तित नहीं होते हैं।”

हर बार जब कोई कार्ड खेलता है, तो उन्हें सुरक्षा आवश्यकताओं को पढ़ने और इसके बारे में नोट्स बनाने की आवश्यकता होती है। अंत में, सभी राउंड के सर्वश्रेष्ठ कार्ड के लिए वोट करते हैं, और विजेता को एक अंक मिलता है।

“जब मैं लोगों को प्रशिक्षण दे रहा होता हूं तो एक दिलचस्प बात सामने आती है: हम ऐसा क्यों कर रहे हैं?” शोस्टैक कहते हैं। एक उत्तर यह है कि डेवलपर्स और आर्किटेक्ट लगातार निर्णय लेते हैं, अक्सर इसे साकार किए बिना। “एक लक्ष्य यह है कि उन डेवलपर्स को पता है कि वे वह चुनाव कर रहे हैं जो उन्होंने अभी बनाया है। अरे, मैट यह कर सकता है। और गैरी ऐसा कर सकता है। क्या हम वास्तव में इसके साथ ठीक हैं?”

ओंगर्स कहते हैं: “हम उन लोगों के दृष्टिकोण से खतरे की मॉडलिंग का रुख करते हैं जो इस चीज का निर्माण करने जा रहे हैं। [They] सोचना चाहिए कि यह बात गलत कैसे हो सकती है। थ्रेट मॉडलिंग यह समझ रहा है कि एप्लिकेशन एक साथ कैसे फिट होते हैं, एप्लिकेशन के माध्यम से डेटा कैसे प्रवाहित होता है।”

शोस्टैक ने अपने कार्ड, सत्र प्रबंधन के 5 की वकालत की, यह समझाते हुए कि यह कितना बुरा होगा यदि हमलावर, जॉन, सत्र पहचानकर्ताओं की भविष्यवाणी कर सकता है और गुमनाम रूप से खेल सत्र से जुड़ सकता है। वह इसे रोकने के लिए और अधिक सुरक्षा लागू करने का सुझाव देता है। “शायद मुझे इसमें प्रवेश करने से पहले मुझे अपने खातों में लॉग इन करना चाहिए था,” वे कहते हैं। “क्या मुझे एक बिंदु मिलता है?”

यह मुद्दा गंभीर चिंता का विषय है, इसलिए इरविन और ओंगर्स इसके लिए वोट करते हैं, और शोस्टैक को अपनी बात समझ में आती है।

“वह वर्तमान में उच्चतम कार्ड खेल रहा है,” इरविन कहते हैं। “आदमी आग पर है!”

अपना हाथ दिखा रहा है
शोस्टैक का कहना है कि कॉर्नुकोपिया और एलीवेशन ऑफ प्रिविलेज जैसे कार्ड गेम तकनीकी पेशेवरों को स्वस्थ तरीके से मॉडलिंग करने की अनुमति देते हैं। “एक चीज जो लोग गलत करते हैं, वह है एक हमलावर की तरह सोचने की कोशिश करना या तकनीक के बजाय मानसिकता के बारे में सोचना,” वे आगे कहते हैं। “कार्ड सभी का इरादा है, विभिन्न तरीकों से, चतुराई से इसे दूर करने और आपको परिणाम प्राप्त करने के लिए।”

उनका तर्क है कि मॉडलिंग के लिए खतरा “कठिन से अधिक डरावना है।” आखिरकार, सड़क पार करने से लेकर खरीदारी करने जाने तक, यह हर इंसान हर समय करता है। यदि हम इसे तोड़ दें, तो केवल चार सरल प्रश्न हैं जो हमें ध्यान में रखने की आवश्यकता है, वे कहते हैं, जो इसमें शामिल हैं धमकी मॉडलिंग घोषणापत्र: “हम किस पर काम कर रहे हैं?” “क्या गलत हो सकता है?” “हम इसके बारे में क्या करने जा रहे हैं?” और “क्या हमने काफी अच्छा काम किया?”

शोस्टैक चाहता है कि हर कोई अपने अनुभव की परवाह किए बिना मॉडलिंग मीटिंग्स को खतरे में डालने में योगदान दे। इसलिए, इन कार्ड गेम के नियमों को विशेष रूप से प्रत्येक खिलाड़ी को प्रत्येक दौर के दौरान कूदने के लिए मजबूर करने के लिए डिज़ाइन किया गया है, जिसमें वे लोग भी शामिल हैं जो ऐसी संस्कृति से आते हैं जो लोगों को अन्य लोगों के विचारों की आलोचना करने से हतोत्साहित करता है।

हालांकि, कभी-कभी कॉर्नुकोपिया के नियमों को हैक करने की अनुमति दी जाती है। “[The game] लचीला होने के लिए, कुछ भी समर्थन करने में सक्षम होने के लिए है,” इरविन कहते हैं। “हम लोगों को चंचल होने की अनुमति दे रहे हैं। विचार उस बातचीत को चलाने का है। और नियम की धज्जियां उड़ाने वाली टीम के एक व्यक्ति से बेहतर कुछ नहीं है।”

इस तरह के ऑनलाइन थ्रेट मॉडलिंग सत्र जल्द ही और अधिक लोकप्रिय हो सकते हैं। अगले साल, दुनिया के कई हिस्सों में संभावित सुरक्षा जोखिमों की जांच की प्रक्रिया अनिवार्य हो सकती है: राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) ने हाल ही में जारी किया कोड के विक्रेता या डेवलपर सत्यापन के लिए अनुशंसित न्यूनतम मानक, जो खतरे के मॉडलिंग के महत्व पर प्रकाश डालता है। यह कहता है कि किसी सेवा या उत्पाद के विकास के दौरान कई मौकों पर खतरे का मॉडलिंग किया जाना चाहिए, एक सुझाव जो अमेरिकी सरकार के साथ काम करने वाली प्रत्येक इकाई के लिए आदर्श बनने की संभावना है, शोस्टैक के अनुसार।

फिर भी, खतरा मॉडलिंग गेम को ऑनलाइन और वास्तविक जीवन दोनों में जीता जा सकता है, वे कहते हैं।

“जीतने का सबसे अच्छा तरीका वास्तव में खेलना है क्योंकि हर कोई जीतता है,” वे कहते हैं। “केवल हारने वाला कदम नहीं खेलना है।”

खतरनाक मॉडलिंग कार्ड कैसे शुरू हुए?

कॉर्नुकोपिया का पहला भौतिक संस्करण कॉलिन वाटसन द्वारा 2012 के अंत में बनाया गया था। उन्हें एजाइल डेवलपर्स के लिए एक प्रशिक्षण करना था, उन्हें यह सिखाना था कि वेब ऐप्स के लिए सुरक्षा आवश्यकताओं की पहचान कैसे करें। वाटसन पावरपॉइंट प्रेजेंटेशन से दूर रहना चाहता था और उसने कार्ड गेम एलिवेशन ऑफ प्रिविलेज को याद किया, जिसे शोस्टैक ने कुछ साल पहले बनाया था।

EoP धमकी मॉडलिंग के लिए STRIDE (स्पूफिंग पहचान, डेटा के साथ छेड़छाड़, अस्वीकार करने की धमकी, सूचना प्रकटीकरण, सेवा से इनकार, और विशेषाधिकारों का उन्नयन) पद्धति का अनुसरण करता है, लेकिन वाटसन इसका पालन करना चाहता था OWASP सुरक्षित कोडिंग प्रथाएं. इसलिए उन्होंने शुरुआत से एक डेक का निर्माण किया, इसे डेवलपर्स के लिए रुचि के क्षेत्रों के अनुरूप बनाया। प्रत्येक कार्ड एक प्रकार के हमले को सूचीबद्ध करता है और खिलाड़ियों को अतिरिक्त संसाधनों की ओर इशारा करता है।

वाटसन ने एक ईमेल में लिखा, “जब मैंने पहली बार कॉर्नुकोपिया बनाया, तो मुझे चिंता थी कि लोग यह नहीं जान पाएंगे कि इनमें से कुछ हमले क्या थे, लेकिन यह सीखने के अनुभव का हिस्सा है।” “मैंने पाया कि इससे खिलाड़ियों की भागीदारी को प्रोत्साहित करने में मदद मिली अगर उन्हें विश्लेषण (खेल) के दौरान कुछ पूछना और चर्चा करना था।”

आदर्श रूप से, कॉर्नुकोपिया को 3 से 6 लोगों के बीच की आवश्यकता होती है, लेकिन कोई इसे अकेले भी खेल सकता है। फिर भी, यदि समूह बहुत छोटा है तो पर्याप्त दृष्टिकोण नहीं हो सकते हैं। खतरे के मॉडलिंग सत्रों के दौरान, डेवलपर्स और सुरक्षा विशेषज्ञ पूरे डेक का उपयोग कर सकते हैं या केवल कुछ सूट चुन सकते हैं, जो उन मुद्दों के लिए प्रासंगिक नहीं हैं जिन पर वे चर्चा कर रहे हैं।




Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here