接觸點(diǎn)

國際軟件安全顧問GaryMcGraw通過編纂構(gòu)建安全產(chǎn)品的豐富行業(yè)經(jīng)驗(yàn)，提供了七個軟件安全接觸點(diǎn)。McGraw使用術(shù)語接觸點(diǎn)來指代可以納入安全軟件生命周期的軟件安全最佳實(shí)踐。McGraw區(qū)分了作為實(shí)現(xiàn)錯誤的漏洞和那些是設(shè)計(jì)缺陷的漏洞。實(shí)現(xiàn)錯誤是單段代碼中的局部錯誤，例如緩沖區(qū)溢出和輸入驗(yàn)證錯誤，使發(fā)現(xiàn)和理解更容易。設(shè)計(jì)缺陷是代碼設(shè)計(jì)級別的系統(tǒng)性問題，例如以不安全的方式失敗的錯誤處理和恢復(fù)系統(tǒng)或錯誤地包含傳遞信任問題的對象共享系統(tǒng)。Kuhn等人[32]分析了來自美國國家漏洞數(shù)據(jù)庫（NVD）的2008-2016年漏洞數(shù)據(jù)，發(fā)現(xiàn)67%的漏洞是實(shí)施錯誤。七個接觸點(diǎn)有助于預(yù)防和檢測錯誤和缺陷。

下面描述了這七個接觸點(diǎn)，并根據(jù)McGraw多年來對每種實(shí)踐的效用的經(jīng)驗(yàn)按有效性順序提供，因此具有規(guī)范性：

1.   代碼審查（工具）。

代碼審查用于檢測實(shí)現(xiàn)錯誤?？梢允褂檬謩哟a審查，但要求審核員在嚴(yán)格檢查代碼之前了解安全漏洞?！笆褂霉ぞ哌M(jìn)行代碼審查”（又名使用靜態(tài)分析工具或SAST）已被證明是有效的，可供工程師使用沒有專家安全知識。有關(guān)靜態(tài)分析的進(jìn)一步討論，請參見第2.1.1節(jié)第9點(diǎn)。

2.   架構(gòu)風(fēng)險(xiǎn)分析。

架構(gòu)風(fēng)險(xiǎn)分析，也稱為威脅建模（請參閱第4節(jié)），用于預(yù)防和檢測設(shè)計(jì)缺陷。設(shè)計(jì)人員和架構(gòu)師提供目標(biāo)系統(tǒng)的高級視圖和假設(shè)文檔，并識別可能的攻擊。通過架構(gòu)風(fēng)險(xiǎn)分析，安全分析師可以發(fā)現(xiàn)架構(gòu)和設(shè)計(jì)缺陷并進(jìn)行排序，以便開始緩解。例如，風(fēng)險(xiǎn)分析可以識別可能的攻擊類型，例如攔截和讀取數(shù)據(jù)的能力。這種識別將促使設(shè)計(jì)人員查看其所有代碼的流量，以查看攔截是否令人擔(dān)憂，以及是否有足夠的保護(hù)（即加密）。分析提示的審查是發(fā)現(xiàn)設(shè)計(jì)缺陷的原因，例如敏感數(shù)據(jù)被明文傳輸。

沒有系統(tǒng)是完全安全的，因此必須使用風(fēng)險(xiǎn)分析來確定安全工作的優(yōu)先級，并將系統(tǒng)級問題與對構(gòu)建軟件的業(yè)務(wù)至關(guān)重要的概率和影響措施聯(lián)系起來。風(fēng)險(xiǎn)敞口的計(jì)算方法是將不良事件發(fā)生的概率乘以與該事件相關(guān)的成本。

McGraw提出了架構(gòu)風(fēng)險(xiǎn)分析的三個基本步驟：

?抗攻擊性分析。攻擊抵抗分析使用清單/系統(tǒng)方法考慮每個系統(tǒng)組件與已知威脅的關(guān)系，如第2.1.1節(jié)第4點(diǎn)中討論Microsoft威脅建模中所做的那樣。在分析過程中使用有關(guān)已知攻擊和攻擊模式的信息，識別體系結(jié)構(gòu)中的風(fēng)險(xiǎn)并了解已知攻擊的可行性。如第2.1.1節(jié)第4點(diǎn)所述，合并基于STRIDE的攻擊的威脅建模是執(zhí)行攻擊抵抗分析的示例過程。

?   歧義分析。模糊性分析用于捕獲發(fā)現(xiàn)新風(fēng)險(xiǎn)所需的創(chuàng)造性活動。模糊性分析需要兩個或更多經(jīng)驗(yàn)豐富的分析師在同一系統(tǒng)上并行執(zhí)行單獨(dú)的分析活動。通過統(tǒng)一對多重分析的理解，分析師之間的分歧可以發(fā)現(xiàn)歧義、不一致和新的缺陷。

?弱點(diǎn)分析。弱點(diǎn)分析側(cè)重于了解與其他第三方組件中的安全問題相關(guān)的風(fēng)險(xiǎn)（請參閱第2.1.1節(jié)第7點(diǎn)）。這個想法是了解對第三方軟件的假設(shè)，以及當(dāng)這些假設(shè)失敗時會發(fā)生什么。

風(fēng)險(xiǎn)識別、排名和緩解是貫穿整個軟件生命周期的持續(xù)過程，從需求階段開始。

3.    滲透測試。

滲透測試可以由架構(gòu)風(fēng)險(xiǎn)分析的結(jié)果指導(dǎo)（請參閱第2.1.2節(jié)第2點(diǎn)）。有關(guān)滲透測試的進(jìn)一步討論，請參見第2.1.1節(jié)，第11點(diǎn)。

4.    基于風(fēng)險(xiǎn)的安全測試。

安全測試必須包含兩種策略：（1）使用標(biāo)準(zhǔn)功能測試技術(shù)測試安全功能;（2）基于攻擊模式和架構(gòu)風(fēng)險(xiǎn)分析結(jié)果的基于風(fēng)險(xiǎn)的測試（參見第2.1.2節(jié)第2點(diǎn)）和濫用案例（參見第2.1.2節(jié)第5點(diǎn)）。對于Web應(yīng)用程序，安全功能的測試可以由OWASP應(yīng)用程序安全驗(yàn)證標(biāo)準(zhǔn)（ASVS）項(xiàng)目12開放標(biāo)準(zhǔn)指導(dǎo)，用于測試應(yīng)用程序技術(shù)安全控制。ASVS還為開發(fā)人員提供了安全開發(fā)的要求列表。

利用軟件架構(gòu)和構(gòu)造、常見攻擊和攻擊者的心態(tài)知識指導(dǎo)測試非常重要。使用架構(gòu)風(fēng)險(xiǎn)分析的結(jié)果，測試人員可以適當(dāng)?shù)仃P(guān)注攻擊可能成功的代碼區(qū)域。

基于風(fēng)險(xiǎn)的測試和滲透測試之間的區(qū)別在于方法的級別和測試的時間。滲透測試是在軟件完成并安裝在操作環(huán)境中時完成的。滲透測試是由外而內(nèi)的黑盒測試?；陲L(fēng)險(xiǎn)的安全測試可以在軟件完成甚至預(yù)集成之前開始，包括使用白盒單元測試和存根。兩者的相似之處在于，它們都應(yīng)該以風(fēng)險(xiǎn)分析、濫用案例和功能安全要求為指導(dǎo)。

5.    濫用案例

這個接觸點(diǎn)編纂了“像攻擊者一樣思考”。用例描述了仁慈參與者對所需系統(tǒng)的行為。濫用案例[20]描述了系統(tǒng)在受到惡意行為者攻擊時的行為。為了開發(fā)濫用案例，分析師列舉了有動機(jī)攻擊系統(tǒng)的惡意行為者的類型。

對于每個不良行為者，分析師為不良行為者希望從系統(tǒng)中獲得的功能創(chuàng)建一個或多個濫用案例。然后，分析師考慮用例和濫用案例之間的交互，以加強(qiáng)系統(tǒng)?？紤]一個汽車的例子。參與者是汽車的駕駛員，這個參與者有一個用例“駕駛汽車”。惡意行為者是偷車賊，其濫用案件是“偷車”。此濫用案例威脅到用例。為了防止盜竊，可以添加新的用例“鎖定汽車”，以減輕濫用情況并加強(qiáng)系統(tǒng)。

人為錯誤是造成大量違規(guī)行為的原因。系統(tǒng)分析師還應(yīng)考慮善意用戶的行為，例如成為網(wǎng)絡(luò)釣魚攻擊的受害者，從而導(dǎo)致安全漏洞。這些行為可以被視為濫用案例[21]，應(yīng)該像濫用案例一樣進(jìn)行分析，考慮濫用案例威脅的用例以及對系統(tǒng)進(jìn)行強(qiáng)化以減輕濫用案例。

濫用和誤用案例分析確定的攻擊和緩解措施可用作安全要求的輸入（第2.1.1節(jié)第2點(diǎn)）。滲透測試（第2.1.1節(jié)第11點(diǎn)）;以及基于風(fēng)險(xiǎn)的安全測試（第2.1.2節(jié)第4點(diǎn)）。

6.    安全要求。

有關(guān)安全要求的進(jìn)一步討論，請參見第2.1.1節(jié)第2點(diǎn)。

7.    安全操作。

網(wǎng)絡(luò)安全可以與軟件安全集成，以增強(qiáng)安全態(tài)勢。無論其他接觸點(diǎn)的應(yīng)用如何，攻擊都不可避免地會發(fā)生。了解攻擊者行為和成功攻擊的軟件是一種基本的防御技術(shù)。通過了解攻擊獲得的知識可以反饋到其他六個接觸點(diǎn)。

七個接觸點(diǎn)旨在隨著軟件產(chǎn)品的發(fā)展而多次循環(huán)。接觸點(diǎn)也是與過程無關(guān)的，這意味著實(shí)踐可以包含在任何軟件開發(fā)過程中。