车联网安全之威胁建模
序言:
随着信息安全和智能网联汽车的发展,汽车的信息安全越来越受到人们的重视。高通公司总裁兼CEO安蒙称“汽车已经变成车轮上的联网计算机,汽车公司也已经转变为科技公司”。随着互联网技术的发展迭代,汽车已经可以通过无线通信网络连接到互联网,成为互联网上的终端设备。智能化和功能多样化也增加的黑客利用各种安全漏洞对汽车实施攻击和控制的可能性。
什么是威胁建模?
威胁建模是一种结构化方法,用来识别、量化并应对威胁,利用抽象的方法来帮助思考风险。威胁建模允许系统安全人员传达安全漏洞的破坏力,然后定义防范或减轻系统威胁的对策,并按轻重缓急实施补救措施。说人话就是归纳资产并把资产分类,然后定义资产所面临的威胁并进一步把威胁细化,把所受到的威胁按照轻重缓急进行评分并且给出缓解措施。
威胁模型通常创建于产品的开发和设计阶段。如果某种产品的生产商有着良好的开发生命周期,它会在产品开发伊始就建立威胁模型,并随着产品开发生命周期的推进,持续更新模型。威胁模型是“活”的文档,随着建模对象发生变化以及建模者对建模对象认识的不断深入,威胁模型会随之改变,因此应当经常更新威胁模型。
为什么要做威胁建模?
在早期发现 Bug
理解安全需求
建造和交付更好的产品
标记其他技术不能发现的问题
实验出物理实体是否能否承受住攻击等
威胁建模
如下图所示,我们在威胁建模过程中需要尽可能的发现更多的功能或程序,采用“下钻”式分析讨论每个应用程序所用的库和方法,
车联网安全之威胁建模相关推荐
- 推荐介绍一项新的工程技术:[威胁建模]的相关系列文章《威胁建模Web 应用程序》...
以往我们建立和开发web应用,特别是要部署到Internet上的工程项目,都要多多少少考虑一些安全性问题,分析可能存在的漏洞,来决定如何有效防范攻击,但是很少有公司或个人将这种行为活动归结到项目的建模 ...
- 安全威胁建模综述_如何使用威胁建模分析应用程序的安全性
安全威胁建模综述 Digital attacks are more and more frequent, and the first step in securing your app is unde ...
- 利用威胁建模防范金融和互联网风险
从B站数据遭竞品批量爬取,到华住集团信息泄露:从东海航空遭遇大规模恶意占座,到马蜂窝旅游网站事件:从接码平台日赚百万到双十一电商风险爆发.....顶象2018年第三季度业务风险监测数据显示,恶意爬取是 ...
- 什么是威胁建模及其最重要的优势?
在应用程序开发中,安全性通常是事后才想到的,并且被视为开发人员的障碍.因此,将其赋予较低的优先级或将其完全忽略以确保它能够满足生产期限.但是,它可能导致生产中的严重漏洞,并给企业增加风险. 威胁建模提 ...
- SDL安全设计工具,一款支持多人协作实施威胁建模的微信小程序
SDL安全设计工具,一款支持多人协作实施威胁建模的微信小程序楔子痛点威胁建模活动组织方法道具使用方法要点使用示例多人单人Q&A其他游戏参考阅读致谢 Shingle,音[ˈʃɪŋɡl],是世界上 ...
- 微软威胁建模工具 STRIDE
威胁建模要回答的四个问题 what are we woking on what can go wrong what are we going to do about this did we do a ...
- 软件安全设计(威胁建模实现)
目录 一.实验目的 二.实验软硬件要求 三.实验预习 四.实验内容(实验步骤.测试数据等) 实验步骤 确定安全目标 创建在线学习系统概况图 分解在线学习系统 确定威胁 威胁评估 确定威胁缓解计划或策略 ...
- 威胁建模——围绕假想敌的领域建模
威胁建模是一个帮助识别列举潜在威胁,并确定缓解措施的优先级,让安全实践左移的过程方法(例如架构缺陷漏洞或缺乏适当的保护措施). 威胁建模的目的是为防御者提供系统分析,分析需要包含哪些控制或防御措施,考 ...
- SDL介绍----3、STRIDE威胁建模方法
文章目录 一.什么是威胁建模 二.STRIDE威胁建模介绍 2.1.STRIDE的六类威胁 三.威胁建模流程 3.1.数据流图 3.2.识别威胁 3.3.提出缓解措施 3.4.安全验证 一.什么是威胁 ...
最新文章
- [ASP.NET MVC] 利用动态注入HTML的方式来设计复杂页面
- 自定义RecyclerView动画——实现remove飞出效果
- 后台服务程序开发模式(一)
- 使用CmakeLists应该知道的一些知识
- JavaScript中的const
- jna enum 对应 java_JNA简单使用
- RabbitMQ环境搭建教程收集(待实践)
- ADO.Net 精简的三层架构
- 如何访问SSH公钥?
- Centos如何安装163yum源
- VMware 12 专业版永久许可证密钥
- NOIP2017普及组复赛 解题分析
- Python实现统计代码行数功能
- Win10文件夹正在使用,文件夹或文件已在另一程序中打开解决方法
- c语言pow函数原型_c语言pow的用法
- C2Prog 串口烧录出现Connecting with target… failed(no response)!
- 我励志成为芸芸阿里云大使中的佼佼者 云大使社区
- 接口性能优化怎么做?
- TCP劫持及反弹shell攻击
- 百趣代谢组学资讯:寻求多年,黄瓜品质好的秘密居然在这里
热门文章
- angular mysql_mysql – 使用Angular进行数据库访问
- 小程序源码:检讨书生成微信小程序
- 当你做了决定后,你觉得麻烦的每件事都会变简单
- 视频教程-让你事半功倍的12个Excel小技巧-Office/WPS
- 基于java的中学考试成绩分析管理系统
- UART通信程序-中断方式
- 不粘锅不粘锅不粘锅不粘锅不粘锅
- 三线压力传感器原理_三线压力传感器|三线风压传感器|三线压差变送器简介
- java 判断特殊字符_java 判断是否包含特殊字符
- linux网络95值工具,Linux下网络故障排查工具之ping|traceroute和tcptraceroute|mtr工具