La modellazione delle minacce è utile al di fuori dello sviluppo delle applicazioni? È uno strumento utile per fare valutazioni operative dei sistemi di informazione già esistenti?
Sono confuso su come le metodologie di modellazione delle minacce come STRIDE siano correlate alle tecniche di valutazione del rischio come definite nel NIST 800-30.
Praticamente tutto quello che ho letto sulla modellazione delle minacce è nel contesto dello sviluppo del software.
Grazie!
L'ingegneria sociale è qualcosa che la sicurezza operativa deve affrontare. Il modello si applica ancora, ad esempio, le identità di spoofing possono essere ottenute rintracciando un protocollo aziendale, poi impersonando un collega smemorato, nuovo o oberato di lavoro, semplicemente "cercando di fare il tuo lavoro", al telefono, ecc.
Ho appena visto questo ora, ma di recente ho tenuto un conference talk su questo argomento: Black Box Threat Modeling (e collegarsi a slidedeck).
Threat modeling is not a new concept (even though it is nowhere near as well-adopted as it should be...). However this has traditionally been used chiefly by designers and security engineers, and sometimes developers. But it is just as useful in later phases as well. The approach I will present will enable pentesters, ethical hackers, and bounty hunters to improve their process, work more efficiently, and return better, more significant results.
...
However, this excellent approach is rarely used in downstream activities, often being ignored completely in the testing phase. That's a downright shame! Penetration tests are usually performed under tight constraints (especially for external 3rd party testing), or with very limited window of opportunity. These techniques are incredibly efficient at highlighting security issues of many different types, and ensuring testing coverage for a selected set of business risks.
This talk will show how to incorporate threat modeling methodologies into your pentesting activities. We will discuss how to leverage a design-phase threat model (if one exists), or alternatively how to implement ad-hoc threat modeling as part of a more effective penetration test.
E anche:
While there is a bit more to making Black Box Threat Modeling (BBTM) work, the underlying idea is borrowed from my full TM methodology, Value-Driven Threat Modeling. The mantra I kept repeating:
- Find the Value.
- Follow the money!
- Or, how do people die?
The point being that business context can be more important than technical details, and focusing on that makes results much more impactful.
In conclusione, a volte ci sono vulnerabilità tecniche che in realtà non dovremmo preoccuparci di investire troppo tempo per la correzione, dal momento che non hanno realmente un rischio o un valore aziendale associati. E BBTM aiuta a focalizzare la comunicazione su quelli che lo fanno.
Leggi altre domande sui tag risk-analysis threat-modeling