Le persone sono utilizzate nella sicurezza delle informazioni? (come in UX)

Sì, in un certo senso.

Quando si progetta un Modello di minaccia, si pensa al sistema attuale, ai potenziali obiettivi di un "Attore delle minacce" (attaccante o utente distratto) e agli strumenti, alle tecniche e alle procedure attualmente disponibili per sfruttare le vulnerabilità.

Per esempio, lavoro con un cliente che descrive tutto questo in documenti dettagliati e imposta priorità in relazione alle priorità di rischio del sistema e del business. Il focus è su minacce non sugli stessi attaccanti, però.

Detto questo, c'è un enorme vantaggio nell'usare lo stile UX dei personaggi in un modo più tradizionale per affrontare il problema del "utente incurante". In molti casi, una migliore UX dovrebbe prevenire molti dei problemi di sicurezza generati dagli utenti che affrontiamo quotidianamente.

Credo che ci sia anche un pensiero di livello base, simile a una persona, nella categorizzazione degli attaccanti da attori skiddy a stati. Oppure, se segui la nomenclatura di Micken , hai la dualità del Mossad / non-Mossad.

L'RBAC può anche essere un'area in cui il pensiero personale può essere utile.

Che i personaggi siano utili o meno dipenderanno da cosa stai facendo - e nel tuo caso, di quali test stiamo parlando.

In generale, un problema con il tentativo di pensare "come un hacker" (o attribuire una persona agli attaccanti) è che è come rotolare la propria crittografia: si potrebbe iniziare a sentirsi al sicuro, e peggio, potrebbe iniziare a credere siete.

Ci sono molti sostenitori dell'uso dei personaggi, raramente ripaga lo sforzo richiesto, anche quando sono disponibili personaggi pre-creati. È difficile prevedere cosa farà un aggressore, ma soprattutto, ci sono tecniche migliori disponibili, come l'uso di STRIDE, alberi di attacco o CAPEC.

Discuto anche contro l'uso di "pensa come un aggressore" link