3. Определите вероятные угрозы. Для всех компонентов, которые являются объектами угроз, определите, где существуют угрозы. Этот анализ «что, если» позволяет создать обширные, технические и неожиданные сценарии угроз, в том числе деревья угроз или атак, чтобы выявить возможные уязвимости или слабые места, которые могут привести к взлому или сбою. Инструменты моделирования угроз могут помочь автоматизировать и упростить этот этап.
4. Оцените каждую угрозу. Определите уровень риска, который представляет каждая угроза, и оцените их, чтобы определить приоритетность снижения рисков. Простой, но эффективный подход заключается в том, чтобы умножить потенциальный ущерб от угрозы на вероятность её возникновения.
5. Внедрите меры по смягчению последствий. Решите, как смягчить каждую угрозу или снизить риск до приемлемого уровня. Вы можете избежать риска, перенести его, снизить или принять.
6. Зафиксируйте результаты. Зафиксируйте все обнаруженные проблемы и действия, чтобы можно было быстро оценить будущие изменения в приложении, ландшафте угроз и операционной среде и обновить модель угроз.