Security in CPS/CyberAttack
Treat Model : STRIDE
mjune.kim
2019. 5. 31. 10:24
| Theat | Desired property | description | examples |
| Spoofing | 확실성(Authenticity) | 공격자가 아닌 정당한 사용자인 척하며 시스템 정보를 탈취하는 행위 | IP spoofing, ARP(Address Resolution Protocol) spoofing |
| Tampering | Integrity | 데이터를 악의적으로 변경하여 전송하는 행위 | |
| Repudiation | Non-repudiability | 시스템이나 리소스에 대한 접근 권한이 없는 공격자가 해당 리소스에 접근하는 행위 | |
| Information disclosure | Confidentiality | 허가받지 않은 공격자가 데이터를 읽는 행위 | |
| Denial of Service | Availability | 정당한 사용자들의 접근을 방해 또는 막는 행위 | DDos |
| elevation of previlege | Authrization | 허가받지 않는 공격자가 임의 권한을 악의적으로 득하여 해당 시스템 또는 리소스에 접근하는 행위 | setuuid |
https://en.wikipedia.org/wiki/STRIDE_(security)
STRIDE (security) - Wikipedia
STRIDE is a model of threats developed by Praerit Garg and Loren Kohnfelder at Microsoft[1] for identifying computer security threats.[2] It provides a mnemonic for security threats in six categories.[3] The threats are: The STRIDE was initially created as
en.wikipedia.org
---
* 위험요소(threat) : 시스템에 위해를 가할 수 있는 잠재적인 위험 요소로 실제 공격에 아직 사용되지 않는 문제점
* 공격(attack) : 시스템의 위험요소(threat) 중에서 실제로 공격 행위가 수행되어 시스템에 위해를 가하는 행위