Entrambi i termini sono molto sfuggenti.
Esistono molteplici metodologie di analisi del rischio e usano un vocabolario diverso e diverse ipotesi. FAIR e l'analogia dello swing degli pneumatici sono una buona introduzione, e se riesci a trovare il video di Tony Cox, questa è un'altra buona fonte. NIST 800-37 è una metodologia alternativa. OWASP ha un altro.
La modellizzazione delle minacce sta attraversando una fase di rinascita: ho fatto una ricerca su google e ho trovato il OWASP link che @ Limite fornito (e Limit merita il merito perché quella è la migliore, prima fonte) e una mezza dozzina di altre. Ma ci sono modelli di minacce NIST e alcuni pensieri davvero creativi su una gerarchia di indicatori di compromesso. (Dovrai cercare nella blogosfera - Bloor , OpenIOC , Chuvakin - Non riesco a trovare quello che voglio che mostri chiaramente un diagramma della gerarchia). Il riepilogo qui è che siamo a un punto critico: ora possiamo raccogliere abbastanza dati e fare abbastanza analisi per sfruttare l'intelligence delle minacce per produrre reali guadagni in sicurezza. Una decina di anni fa, la modellizzazione delle minacce era per lo più teorica e non aveva avuto un impatto così strong.
Personalmente eseguo la valutazione del rischio e amp; analisi prima, ma devo fare un modello di minaccia preliminare durante l'analisi del rischio. Il mio capo tecnico fa il contrario, ma ha anni di fare modelli avanzati di minacce.
Non posso fornirti un esempio di modello di minaccia: i modelli di minacce sono costosi da produrre e noi non li offriamo. Ma se sai che il 30% del malware che entra nella tua rete utilizza un set di strumenti antimalware, puoi configurare le tue difese per trarne vantaggio. Oppure, se sai che attraverso tutte le diverse campagne di malware, il 70% di esse tenta l'esfiltrazione come payload / missione, quindi ciò influenzerà il modo in cui investi e configura le tue difese. I modelli di minaccia ti dicono cosa vuole il tuo avversario; se sai cosa vuole l'avversario, hai l'opportunità di negare in modo più efficace l'avversario.