Pemodelan Ancaman untuk Keamanan Aplikasi Web

Membuat pemodelan ancaman keamanan aplikasi web adalah aktivitas yang dapat membantu Anda mengidentifikasi dan mengurangi ancaman. Hal ini membantu anda melihat risiko keamanan secara menyeluruh, sehingga dapat mengambil keputusan dan memprioritaskan keputusan keamanan siber dan mempertimbangkan bagaimana Anda dan tim dapat menggunakan sumber daya dengan sebaik mungkin. Ada banyak pendekatan untuk pemodelan ancaman keamanan aplikasi web, tetapi semuanya memiliki tujuan yang sama. Denga menggunakan tools dapat membantu Anda mengetahui apa yang berpotensi membahayakan keamanan Anda dan apa yang dapat Anda lakukan untuk mengatasinya. Artikel ini akan membahas mengenai pemodelan ancaman untuk keamanan aplikasi web.

Bagaimana pemodelan ancaman keamanan web dapat dilakukan?

Secara umum, pemodelan ancaman keamana web membantu Anda berpikir seperti calon penyerang. Seperti Apa yang Anda miliki yang bisa untuk diserang? Bagaimana bisa diserang? Dari mana penyerang akan memulai? Ini juga menggunakan alat bantu visual yang memungkinkan Anda melihat ancaman dengan lebih jelas dan mengetahui vektor serangan dengan mudah.

Pemodelan ancaman keamanan aplikasi web hanyalah bagian dari pemodelan ancaman secara keseluruhan, dan tidak boleh dianggap sebagai latihan terpisah. Aplikasi web selalu saling berhubungan dengan elemen sistem lainnya: server web, server aplikasi, penyimpanan data, sistem operasi, dan ini pada gilirannya dengan aset lainnya. Oleh karena itu, jika Anda fokus pada pemodelan hanya untuk web, Anda akan kehilangan banyak ancaman, dan pemodelan ancaman tidak akan berguna.

Siapa yang harus melakukan pemodelan ancaman?

Pemodelan ancaman paling efektif jika melibatkan sebanyak mungkin pemangku kepentingan, bukan hanya pakar keamanan. Orang-orang di posisi yang berbeda dalam bisnis membawa perspektif yang unik dan dapat membantu Anda memperhatikan detail yang seharusnya Anda lewatkan. Dalam beberapa kasus, pemodelan ancaman bahkan meminta bantuan subkontraktor, mitra bisnis, atau pelanggan.

Apa yang menurut mereka layak dicuri atau dikompromikan? Bagaimana mereka melakukannya? Tim pengembang dapat mengingatkan Anda bahwa kode sumber aplikasi Anda berharga karena tidak hanya berisi sumber terbuka tetapi juga algoritme unik yang dipatenkan. Manajer pemasaran dapat mengingatkan Anda bahwa jika seseorang merusak halaman web Anda, itu dapat menurunkan nilai merek Anda. Administrator kantor dapat membantu Anda menyadari bahwa sangat mudah bagi orang asing untuk memasuki kantor Anda dan kunci ruang server mudah dicuri. Administrator sistem IT mungkin mengingatkan Anda untuk tidak hanya mencakup desktop dan server tetapi juga perangkat IoT.

Kapan dan di mana melakukan pemodelan ancaman?

Proses pemodelan ancaman harus dimulai saat Anda mulai mendesain aplikasi, dan proses tersebut tidak boleh berakhir, menjadi bagian integral dari manajemen risiko keamanan informasi. Tim keamanan harus memikirkan eksploitabilitas dan memodelkan potensi ancaman segera setelah Anda mulai memikirkan aplikasi Anda. Semakin dini Anda menangkap potensi ancaman, semakin mudah Anda mengetahui cara melindungi diri sendiri menggunakan berbagai tindakan pencegahan, misalnya dengan mendesain ulang bagian-bagian sistem. Oleh karena itu, Anda harus menyertakan pemodelan ancaman dalam siklus hidup pengembangan perangkat lunak (SDLC) dari tahap awal papan gambar di seluruh DevOps.

Sistem Anda terus berkembang, sehingga pemodelan ancaman tidak akan pernah berhenti. Setiap perubahan pada lingkungan Anda harus dikaitkan dengan evaluasi ulang potensi ancaman. Bahkan modifikasi yang sangat kecil dapat menimbulkan ancaman baru yang sangat serius yang harus Anda mitigasi. Pada saat yang sama, pemodelan ancaman tidak hanya terbatas pada aset Anda sendiri. Misalnya, Anda mungkin perlu mempertimbangkan untuk mengaudit pengguna, mitra bisnis, dan lainnya. Jika sistem Anda adalah bagian dari keseluruhan yang lebih besar, ancaman terhadap sistem Anda mungkin tidak langsung.

Apa saja tahapan pemodelan ancaman?

Menurut teori pemodelan ancaman keamanan web, biasanya didasarkan pada empat tahap utama:

• Apa yang sedang kita kerjakan? (Diagram)
• Apa yang bisa salah? (Pencacahan Ancaman)
• Apa yang akan kita lakukan? (Mitigasi)
• Apakah kita melakukan pekerjaan dengan baik? (Verifikasi)

Pemodelan ancaman dimulai dengan pembuatan diagram karena ini adalah cara termudah untuk berkomunikasi dengan orang lain tentang bagaimana sistem Anda dibangun. Diagram juga mudah dipahami oleh kebanyakan orang. Diagram yang paling populer digunakan untuk pemodelan ancaman adalah diagram aliran data (DFD). Mereka fokus pada data yang merupakan salah satu elemen kunci dari pemodelan ancaman, dan mereka memungkinkan Anda dengan mudah mengetahui batas kepercayaan.

Setelah diagram awal siap, semua pihak yang terlibat dapat melihatnya dari sudut pandang penyerang dan mulai bertukar pikiran untuk menemukan masalah keamanan. Enumerasi/mitigasi ancaman mendetail melibatkan beberapa alat dan teknik yang membantu Anda mencakup semua kategori ancaman dan memenuhi persyaratan keamanan perangkat lunak Anda, misalnya, membangun simulasi serangan dan merancang kontrol keamanan. Verifikasi memungkinkan Anda memastikan bahwa mitigasi efektif.

Misalnya saat anda melakukan identifikasi keamanan aplikasi web, tercatat bahwa aplikasi web berpotensi terbuka untuk 10 serangan teratas seperti SQL, skrip lintas situs, dan lainnya, tetapi juga bahwa pengguna dapat menggunakan kata sandi yang lemah, yang membuat sistem terkena serangan.

Anda kemudian dapat menggunakan pemindai kerentanan aplikasi web untuk berpikir seperti penyerang dan mencoba menemukan kerentanan. Dalam tahap mitigasi dan verifikasi, solusi keamanan web lengkap seperti Acunetix juga dapat membantu Anda dengan memprioritaskan dan mengelola masalah secara otomatis untuk memeriksa apakah masalah telah diselesaikan. Meskipun alat yang berfokus pada otomatisasi tersebut tidak akan mencakup semua ancaman dan direkomendasikan untuk menindaklanjuti dengan pengujian penetrasi, ini adalah salah satu elemen penting dari enumerasi dan mitigasi ancaman dunia maya untuk aplikasi web.