架构风险分析 | Synopsys

抱歉,尚不支持此语言

多年的经验告诉我们,在造成安全问题的软件缺陷中,设计缺陷占到一半。仅在代码行中测试软件的安全缺陷或对应用进行渗透测试,有一半的问题会被忽视,从而导致贵组织容易受到攻击。

<p>An architecture risk analysis (ARA)&nbsp;is a comprehensive design review that enables you to determine your systems adherence to secure design principles. Security defects can be detected and resolved earlier&nbsp;in the software development life cycle (SDLC), which is less expensive, invasive, and time-consuming than waiting until code is written or QA tests are performed. However, even if your system is already built or deployed, an ARA can be immensely valuable because an application’s functionality and attack vectors are in a constant state of evolution.</p>

无论您身处 SDLC 的哪个环节,都能获得支持

架构风险分析 (ARA) 是一项全面的设计审查,使您能够确定系统是否遵守安全设计原则。可在软件开发生命周期 (SDLC) 的早期检测并解决安全缺陷,这比等待编写代码或执行 QA 测试更经济、更省时、侵入性更低。但是,即使您的系统已经构建或部署,ARA 也会显示出巨大的价值,因为应用程序的功能和攻击向量处于不断演变的状态。

发现您的系统设计中另外 50% 的隐藏缺陷并予以补救

通过在设计过程中解决安全问题,您可以构建重复出现的常见软件代码缺陷。这就是 ARA 所提供的。


Threat modeling

威胁模型包括

  • 按风险严重程度排序的资产
  • 按可能性排序的威胁
  • 最有可能会发生的攻击
  • 当前可能成功或失败的对策
  • 降低威胁的补救措施

威胁建模
从黑客的思考角度分析安全风险。

威胁建模可识别造成伤害的威胁代理的类型。它从恶意黑客的角度入手,看看他们能造成多大的损害。我们的考察范围不局限于典型的固定攻击列表,还会考虑新的攻击或原本没有考虑到的攻击。

利用威胁建模避免四个安全漏洞

威胁建模定义整个攻击面。它可以识别

  • 存在于预定常见攻击列表之外的威胁 标准攻击并不总是会对您的系统构成风险。构建威胁建模,以识别专门针对您系统构建方式的各种攻击。
  • 与架构相关的威胁代理的位置 建模威胁代理的位置、动机、技能和能力,以识别潜在攻击者相对于系统架构所处的位置。
  • 保持框架领先于与您的应用程序相关的内外部攻击者的方法。
  • 需要额外保护的组件。突出显示资产、威胁代理和控制措施,以确定攻击者最可能针对的组件。

 

我们会根据您的需求进行调整

我们认识到每个组织的风险状况和承受能力各不相同,因而会根据您的需求和预算量身定制解决方案。我们的整体方案包含两个关键步骤。

  1. 我们审查系统的主要软件组件、安全控件、资产和信任边界。
  2. 然后针对您现有的对策,对这些威胁进行建模并评估潜在结果。

安全设计审查
了解您的应用程序的架构和基础设施是否符合业务实践。

Synopsys 知识库包括相关的最佳实践以及面向开发人员和安全倡导者的调查问卷。API 安全、OAuth 2.0、OpenID 和 JWT 安全只是面板的几个示例。

您的安全控制是否符合行业最佳实践?

我们根据行业最佳实践,评估您的关键安全控制措施的相关设计,以确定其中是否存在配置错误、功能薄弱、使用不当或缺失。

不让任何缺陷成为漏网之鱼

我们的专家审核多达 11 种关键的安全控制措施,以查找无法通过渗透测试、DAST 或 SAST 等活动进行识别的系统缺陷。

At the end of each assessment, we will conduct a read-out call with the appropriate development team to review each vulnerability identified during the assessment, answer any questions that the team might have around each vulnerability, and discuss mitigation/remediation strategies.

我们将测试与补救衔接起来

每次评估结束时,我们将与相关开发团队召开总结会,回顾评估期间发现的每一个漏洞,回答该团队针对每个漏洞提出的任何问题,并讨论缓解/补救策略。