白板不再足以建模AppSec威胁
更新“威胁建模作为代码”有望取代白板图作为确定的AppSec风险映射范式,黑帽子美国与会者昨天听到。
单独使用DevSecops培训师和安全建筑师克里斯蒂安·施耐德(Christian Schneider),经典威胁建模在不断发展的风险景观中是不可接受的静态,尤其是考虑到管道 - AS-As-As-As-As-As-Development在Pipeline-As-As-As-os-over开发过程中常规使用自动安全扫描。
因此,施耐德暗示,敏捷威胁建模需要新的工具。
他公开了这样的工具包tre缩,在昨天在黑帽2020年的阿森纳曲目中,由于冠状病毒大流行而在网上举行。
公开发布github和Docker周二(8月4日),Treagile将其架构和资产建模为YAML文件,直接在集成开发环境(IDE)内。
执行工具包后,将检查40个内置风险规则(以及创建的任何自定义规则)。
结果是关于已确定的风险,其严重性,缓解步骤和风险跟踪状态的报告,如Schnieder在下面的视频中所解释的那样,他重复了他的武器库为DEF CON。
DevSecops准备就绪
Schneider说,Treagile可以作为简单的Docker容器执行,已经准备好了DevSecops。
他告诉他,作为命令行或REST服务器运行,并生成JSON输出简化了该工具的集成“ in AppSec CI/CD-Pipelines”。每日swbeplay2018官网ig在他的演讲之前。
为了实现连续的建模,Treagile采用了威胁模型AS代码施耐德说,通过结合“两全其美”的范式。
“声明性威胁模型数据只是文本” - 一个YAML文件,它提供“与源树一起入住github,差异,协作等,加上比[更可读的]比纯源代码更可读,”。
Schneider补充说:“主要IDE还具有类似于YAML的自动完成和模式检查的代码式功能。Treagile还支持实时编辑模板和用于自动完成和语法检查IDE的YAML文件的模式。”
Since risk-rules and model-macros are coded in simple-to-code ‘Go’ language, Threagile is readily extended to support custom risk-rules, for example for corporations with individual policies they’d like to check/enforce corporate-wide, and model-macros for wizard-style automation of common model tasks, says Schneider.
“视觉反馈循环”
Treagile的美德在于“不断扩展”该模型。
避开由行连接的框和云的图表,它从“ YAML文件”开始,该文件声明描述了您的数据资源,技术资产(组件)及其通信链接和信任 - 界限”。
他补充说:“其余的通过应用风险规则和自动布局技术从该模型中自动生成。”“即使是不错的数据流程图也是自动生成的,与模型文件中的声明匹配。”
有关的Kubiscan:开源Kubernetes安全工具在Black Hat 2020展示
这保留了“视觉反馈循环”,该循环会提醒用户了解他们已忽略的模型或在错误的抽象高度上建模的任何关键元素。
他补充说,安全机构不必从图表开始,也不需要更重要的是,随着敏捷项目的发展而编辑。
敏捷的团队“只需在仅在几行yaml中添加他们所做的工作,只需将模型YAML文件扩展到其IDE(不离开工具)中。”
对于初学者来说
他建议,Treagile Ingenues应该“开始小”。Schneider说:“只需将最重要的数据资源,技术资源及其沟通链接收集到分流中,然后在您的冲刺中迭代时就会发展。”
还敦促威胁建模器接受Treagile的自动完成和实时编辑支持,以简化模型文件编辑。
在研讨会期间确定的任何风险也可以添加到YAML文件中。
“体系结构象征的风险无法识别”,可以将它们像自动检测到的对应物一样添加到模型文件中。
如果用户无法创建自定义风险规则来检测这些风险,则应“创建一个模板以快速将其添加到其他项目中”。
同时,跟踪和添加降低风险状态的状态,“启用Threagile在DevSecops管道中的使用,确保在推出时不受关键的风险不受限制”。
他补充说,施耐德最重要的建议也是最简单的实施建议。
他说:“继续在每次冲刺上编辑YAML模型文件。”“无论如何,这都是您在编码时使用的IDE,大多数情况下只需添加几行YAML。
“与Source-Tree一起签入,这是记录您项目如何发展的好方法。当前模型文件反映当前项目的状态越多,您以敏捷的方式进行持续威胁建模。”
克里斯蒂安·施耐德(Christian Schneider)的阿森纳会议的视频嵌入了本文,于8月11日
