Modelovanie hrozieb od Adama Shostacka – zahrnutá kapitola zadarmo

V roku 2014 publikoval Adam Shostack - programový manažér a vývojár zabezpečenia pre spoločnosť Microsoft - knihu o modelovaní hrozieb. Jeho kniha, ktorá je k dispozícii v knihe Kindle a Paperback, vysvetľuje, ako optimalizovať zabezpečenie siete pre vývojárov softvéru, správcov zabezpečenia a odborníkov v oblasti bezpečnosti..  

Posadili sme sa s ním, aby sme hovorili o jeho knihe a význame modelovania hrozieb.

vpnMentor: Čo vás nútilo napísať Threat Modeling?

Shostack: Napísal som Threat Modeling, pretože modelovanie hrozieb je jadrom mojej bezpečnostnej kariéry. Sledoval som toľko ľudí, ktorí sa snažia vytvoriť modely hrozieb, dokonca tie priemerné, a zistil som, že existuje lepší spôsob, ako to naučiť. Ľudia, ktorí sa venujú bezpečnosti, sa učia činmi, činmi, učňovským vzdelaním, ale veľa toho, čo sa učíme, je nevyskúšané..

Pri modelovaní hrozieb by ste sa mali zamerať na aktíva? Nie, je to pasca. A čo sústrediť sa na myslenie ako útočník? Tiež pasca. Systém chytí normálnych, dobre míňajúcich inžinierov, ktorí sa snažia urobiť správnu vec, ale nie sú úspešní. Dostalo sa do bodu, keď ani rozhovory s týmito technikmi na hodinu o tom, čo robiť a čo nerobiť, nestačili, tak som sa rozhodol napísať knihu o tom.

vpnMentor: Aké nové znalosti ste získali pri písaní tejto knihy?

Najväčšou vecou, ​​ktorú som sa pri písaní knihy naučil, bolo to, aké veľké je modelovanie hrozieb. Existujú spôsoby, ako premýšľať o tom, na čom pracujete, čo sa môže pokaziť, čo s tým robiť alebo či ste odviedli dobrú prácu.

Písanie knihy o modelovaní hrozieb je ako napísanie knihy o všetkých programovaní. V programovaní existujú jazyky, napríklad Perl alebo Haskel alebo dokonca Excel, a existujú spôsoby, ako to urobiť, od kopírovania a vkladania po StackOverflow až po veľmi formálne inžinierske prístupy. Existujú fázy od koncepcie po implementáciu, testovanie a nasadenie. Musel som to všetko zmestiť do jednej knihy! Jadrom modelovania hrozieb sú však štyri otázky:

(1) Na čom pracujeme?

(2) Čo sa môže pokaziť?

(3) Čo s tým urobíme?

(4) Urobili sme dobrú prácu?

Dúfam, že zdieľanie týchto zameracích bodov pomôže ostatným úspešne ohroziť model.

Modelovanie hrozieb: Program Designing for Security je možné zakúpiť na Amazone. Kliknutím na odkaz nižšie si môžete prečítať prvú kapitolu. 

Kliknite sem a prečítajte si kapitolu z Adamovej knihy!

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me