Stride

Stride

Spoofing (falsificação) da identidade do usuário

Tentar impedir ao máximo que o invasor tente se passar por outro usuário.

Utilize autenticação forte.

Não armazene segredos (por exemplo, senhas) em texto puro.

Não transmita credenciais em texto puro por linha.

Proteja os cookies de autenticação com Secure Sockets Layer (SSL).

Tampering (manipulação) de dados

Impedir que o usuário não autorizado veja informações confidenciais.

Impedir que um usuário não confiável altere dados na minha rede.

Use protocolos resistentes a tampering em todas as conexões de comunicação.

Proteja as conexões de comunicação com protocolos que oferecem integridade de mensagens

Repudiation (Repúdio)

Toda solicitação de alteração deve vim por escrito com a assinatura do supervisor geral para q não ocorra alteração de risco no sistema.

Revelação de informações

Utilizar sempre autorização para o acesso ao sistema.

Não guardar segredos no sistema.

Use assinaturas digitais.

Information disclosure (revelação de informações)

Use autorização forte.

Use encriptação forte.

Proteja links de comunicação com protocolos que oferecem confidencialidade para mensagens.

Não armazene segredos (por exemplo, senhas) em texto puro.

Denial of service (negação de serviço)

Deve se proteger de ameaças de negação de serviço para melhorar a disponibilidade e confiança do sistema.

Validar sempre a entrada do usuário com senha.

Filtra qualquer usuário suspeito impedindo maiores acessos.

Use técnicas de controle de largura de banda e de recursos.

Valide e filtre a entrada.

Elevation of privilege (elevação de privilégio)

Evitar acessos privilegiados

Sempre certificar as credenciais do usuário.

Só permitir o acesso se as credenciais forem validadas e seguras.

O acesso privilegiado só dever ser para executar processos e acessar recursos.

Siga o princípio de privilégio mínimo e use contas de serviço menos privilegiadas para executar processos e acessar recursos.

...