Threat Modeling av Adam Shostack – Gratis kapitel ingår


Redan 2014 publicerade Adam Shostack - en programchef och säkerhetsutvecklare för Microsoft - en bok om hotmodellering. Hans bok, som finns i Kindle och pocketbok, förklarar hur man optimerar nätverkssäkerhet för mjukvaruutvecklare, säkerhetschefer och säkerhetspersonal.  

Vi satte oss med honom för att prata om hans bok och betydelsen av hotmodellering.

vpnMentor: Vad fick dig att skriva hotmodellering?

Shostack: Jag skrev hotmodellering eftersom hotmodellering är kärnan i min säkerhetskarriär. Jag har sett så många människor kämpa för att skapa hotmodeller, till och med mediokra, och jag tänkte att det fanns ett bättre sätt att lära ut det. Vi säkerhetsfolk lär oss genom att göra, genom handling, genom lärlingsutbildning, men mycket av det som vi lär oss göra är otestat.

Bör du fokusera på tillgångar när du modellerar hot? Nej, det är en fälla. Vad sägs om att fokusera på att tänka som en angripare? Också en fälla. Systemet fångar normala, välmenande ingenjörer som försöker göra rätt sak, men de lyckas inte. Det kom till det att till och med inte prata med dessa ingenjörer i en timme om vad jag skulle göra och vad man inte skulle göra var inte tillräckligt, så jag bestämde mig för att skriva en bok om det.

vpnMentor: Vilken ny kunskap fick du när du skrev denna bok?

Det största jag lärde mig att skriva boken var hur stort hotmodellering är. Det finns sätt att tänka på vad du arbetar med, vad som kan gå fel, vad du ska göra åt det eller om du gjorde ett bra jobb.

Att skriva en bok om hotmodellering är som att skriva en bok om all programmering. Vid programmering finns det språk, som Perl eller Haskel eller till och med Excel, och det finns metoder för att göra det, från att kopiera och klistra in till StackOverflow till mycket formella tekniska metoder. Det finns steg från koncept till implementering, till testning och distribution. Jag var tvungen att passa in det i en bok! Men kärnan i hotmodellering är fyra frågor:

(1) Vad arbetar vi med?

(2) Vad kan gå fel?

(3) Vad ska vi göra åt det?

(4) Gjorde vi ett bra jobb?

Jag hoppas att dela dessa fokuspunkter kommer att hjälpa andra framgångsrikt hotmodell.

Threat Modeling: Designing for Security kan köpas på Amazon. Klicka på länken nedan för att läsa det första kapitlet. 

Klicka här för att läsa ett kapitel från Adams bok!

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me