UPB – Zadanie 1

Zadanie 1 – Modelovanie Hrozieb

Úlohou je vytvoriť model hrozieb pre vybraný systém (aplikaciu). Konkretný systém pre ktorý budete hrozby modelovať, si vyberte na základe vlastného uváženia. Požiadavka je aby vybraný system spracovával, uchovával a pre vybraný okruh ľudí aj zobrazoval citlivé informácie, alebo informácie ktoré možu viesť k finančným ziskom, alebo iným škodám na majetku, reputácii, ohrozeniu života, alebo inej bezpečnostnej udalosti. Napr. Bankový system, zdravotný system nemocnice, system objednavania a výdaja stravy (aj s platbou), atď.

Ulohy:

  1. Vyberte si informačný systém (aplikáciu), pre htorú budete modelovať hrozby.
  2. Vytvorte jednoduchý diagram pre daný systém.
  3. Vytvorte “trust boundaries”
  4. Na zaklade prvého diagramu vytvorte data flow diagram
  5. Pokuste sa najsť (identifikovať hrozby) podľa metodiky STRIDE
  6. Ošetrite zistené hrozby

Pri úlohe 3, 4 a 5 využite software Microsoft Threat Modeling Tool 2016 ktorý si možete bezplatne stiahnuť na adrese https://www.microsoft.com/en-us/download/details.aspx?id=49168

Zaroveň si stiahnite subory Threat Modeling Tool 2016 Getting Started Guide.docx a

Threat Modeling Tool 2016 User Guide.docx ktoré sú k dispozicii pre stiahnutie zaroveň so softwerom, ktoré Vám budú pri tvorení modelu v Threat Modelery napomocne.

Odovzdavať budete PDF súbor, ktorý bude obsahovať výstupy z jednotlivých zadaných úloh. Časti vytvorené v Microsoft Threat Modeling Tool odovzdavate samostatne ako dalšie súbory (vytvorený data flow diagram (.tm7) a zoznam hrozieb, report (.html)).

Subory odovzdate do AIS miesto odovzdania pre váš vybraný systém najneskôr do terminu uzatvorenia miesta odovzdania. V prípade neodovzdania, alebo neskoreho odovzdania bude za zadanie pridelene 0 bodov.

Pri riešení zadania využite informácie dostupné z prednášky, z odporučanej literatury (Adam Shostack. Threat modelling: designing for security. Wiley 2014), a tiež z internetových zdrojov (napr. https://www.owasp.org/index.php/Application_Threat_Modeling ).