Рассмотрим различные варианты планов моделирования угроз. Лучшие практики моделирования угроз имеют много общего.
Как правило, организации проводят моделирование угроз на этапе проектирования (но это может происходить и на других этапах) нового приложения, чтобы помочь разработчикам найти уязвимости и понять, как решения по проектированию, коду и конфигурации влияют на безопасность. Как правило, разработчики проводят моделирование угроз поэтапно.
Процесс моделирования угроз можно описать следующим образом:
Системы, которые могут быть затронуты
Определение угроз. Что может пойти не так?
Смягчение последствий. Что мы делаем для защиты от угроз?
Что делает организация или ИТ-команда для снижения риска
Подтверждение выполнения предыдущих шагов
Преимущества моделирования угроз
Процесс моделирования угроз состоит из последовательных действий. Несмотря на то, что их можно выполнять по отдельности, они взаимосвязаны, поэтому их выполнение в совокупности даёт более полное представление об угрожающей ситуации. Как правило, эти этапы включают:
Опишите проблему, с которой вы столкнулись, в контексте конкретной системы, приложения или процесса
Составление списка предположений об угрозе, которые необходимо проверять по мере изменения условий
Конкретный список угроз
Список шагов по исправлению положения и ликвидации
Способ убедиться, что методы борьбы с угрозами эффективны и остаются актуальными по мере изменения ландшафта угроз
Рассмотрим различные схемы моделирования угроз для понимания общих принципов.
Процесс моделирования угроз состоит из последовательных действий. Их выполнение в совокупности даёт полное представление о ситуации с угрозами. Как правило, эти этапы включают:
•
Описание проблем в контексте конкретной системы, приложения или процесса
•
Составление списка предположений об угрозе, которые необходимо проверять по мере изменения условий
•
Конкретный список угроз
•
Список шагов по исправлению положения и ликвидации
•
Способ убедиться, что методы борьбы с угрозами эффективны и остаются актуальными по мере изменения ландшафта угроз
Методологические подходы рассматриваемых схем моделирования угроз очень похожи. Например, следующая поэтапная методология создания модели угроз.
В этом примере создание модели угрозы состоит из четырех основных этапов: