Devi eseguire il backup di un paio di passaggi e, in consultazione con il tuo cliente, elaborare un modello di minaccia . (Sì, questo è un link a un libro di 600 pagine, sì, sto seriamente raccomandando di leggere l'intera cosa.)
Un modello di minaccia inizia ponendo domande come
- Perché l'app deve memorizzare questi dati sensibili in primo luogo?
- Puoi evitare di memorizzarlo affatto?
- Può essere buttato via dopo poco tempo?
- Ha veramente bisogno di essere accessibile a più di un dispositivo?
- Se deve essere accessibile su più di un dispositivo, deve essere memorizzato su più di un dispositivo?
- Chi sono le persone a cui è consentito vedere i dati sensibili di ciascun utente?
- È possibile rendere questo elenco più breve?
- Chi sono le persone che potrebbero entrare in contatto con i dati sensibili di ciascun utente mentre cercano di svolgere il proprio lavoro, ma non hanno bisogno di saperlo?
- Può questo elenco essere reso più breve?
- I dati possono essere resi inaccessibili a loro senza danneggiare la loro capacità di svolgere il proprio lavoro?
- Se non può essere inaccessibile, può almeno essere reso incomprensibile? (Questo è ciò che fa la crittografia, in astratto: rende i dati incomprensibili.)
- Chi sono le persone che vogliono per vedere i dati sensibili, ma non sono ammessi?
- Quali opportunità hanno per ottenere i dati?
- Che cosa vogliono fare con i dati una volta che ce l'hanno?
- Quanto saranno arrabbiati se non ottengono ciò che vogliono?
- Quanto denaro, tempo, cicli di CPU e sforzo umano sono disposti a spendere?
- Gli interessa se qualcuno conosce ha visto i dati?
- Vogliono accedere ai dati sensibili di utenti specifici o qualcuno lo farà?
- Che cosa sanno già?
- A cosa hanno già accesso?
Una volta che conosci le risposte a queste domande, sarai in un posto molto migliore per capire cosa fare.
Ricorda che potrebbe esserci più di una risposta a ciascuna serie di domande, in particolare quelle relative agli aggressori (le persone che desiderano i dati sensibili ma non sono autorizzati a riceverli). Se non riesci a pensare ad almeno mezza dozzina di diversi attaccanti archetipici, con diverse motivazioni, obiettivi e risorse, probabilmente ti sei perso qualcosa.
Ricorda inoltre che gli attaccanti che causano più problemi a tu (e / o al cliente), sono i più propensi a fare un grande salto nel media se il loro attacco ha successo, o chi infligge il maggior numero di danni aggregati , probabilmente non sono gli attaccanti che possono causare il danno maggiore a singoli utenti se il loro attacco ha esito positivo. La compagnia del tuo cliente si preoccupa in modo razionale del danno aggregato, ma gli utenti si preoccupano più razionalmente del danno a se stessi.