МОДЕЛЬ ЗАГРОЗ У ГЕТЕРОГЕННОМУ СЕРЕДОВИЩІ З ДИНАМІЧНОЮ АРХІТЕКТУРОЮ З НЕВІДЧУЖУВАНИМИ ОБЧИСЛЮВАЛЬНИМИ ВУЗЛАМИ ПІД КЕРУВАННЯМ KUBERNETES
Ключові слова:
моделювання загроз, інформаційна безпека, веб-додатки, Kubernetes, безпека даних, ризики кібербезпеки, GDPR, вразливості системиАнотація
Робота присвячена актуальному питанню моделювання загроз у гетерогенному середовищі з динамічною архітектурою з невідчужуваними обчислювальними вузлами під керуванням Kubernetes. Запропонований у роботі підхід базується на імплементації покращених методів, які застосовуються під час моделювання загроз й стосуються: оптимізації процесу, збору та аналізу даних, контекстуалізації загроз, оновлення інформації про вразливості на основі публічних баз даних та урахування бізнес-контексту. На відміну від відомих існуючих рішень, запропоновані покращені методи моделювання включають в себе такі ключові моменти як: детальний збір інформації, аналіз ланцюгів постачання (supply chain), перевірка системи на відповідність регламентів про захист даних (таких як General Data Protection Regulation), впровадження найкращих практик Open Web Application Security Project [1] на ранніх етапах розробки програмного продукту. Перевагою запропонованого підходу є раннє виявлення вразливостей, оскільки покращені методи сфокусовані на детальному аналізі документації майбутнього продукту й його архітектури, що у перспективі призводить до економії ресурсів та коштів витрачених на розробку продукта, оскільки виправлення вразливостей на стадії проектування коштує значно дешевше, ніж після виходу продукта на ринок, та зменшує ризик додаткових витрат на рефакторинг, тестування та випуск оновлень. У роботі розглянуто експериментальне веб середовище OWASP Juicy Shop під керуванням Kubernetes, й побудована модель загроз у графічному інструменті Threat Dragon, проведено дослідження запропонованних покращенних методів, зроблено статистичне порівняння з класичними методами моделювання, та обґрунтована ефективність запропонованого підходу.
Посилання
OWASP Application Security Verification Standard. Режим доступу: https://owasp.org/www-project-application-security-verification-standard
AWS. "Security in Containers and Kubernetes on AWS." Режим доступу: https://aws.amazon.com
IT Governance Publishing, “EU General Data Protection Regulation (GDPR): An Implementation and Compliance Guide" (4th Edition)” October 15, 2020.
Threatmodeler. Continuous cybersecurity in 2024. Режим доступу: https://www.threatmodeler.com/continuous-cybersecurity-in-2024-what-works-and-what-doesnt/
##submission.downloads##
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License.
Authors who submit to this conference agree to the following terms:a) Authors retain copyright over their work, while allowing the conference to place this unpublished work under a Creative Commons Attribution License, which allows others to freely access, use, and share the work, with an acknowledgement of the work's authorship and its initial presentation at this conference.
b) Authors are able to waive the terms of the CC license and enter into separate, additional contractual arrangements for the non-exclusive distribution and subsequent publication of this work (e.g., publish a revised version in a journal, post it to an institutional repository or publish it in a book), with an acknowledgement of its initial presentation at this conference.
c) In addition, authors are encouraged to post and share their work online (e.g., in institutional repositories or on their website) at any point before and after the conference.
