Adamsa Šostaka draudu modelēšana – iekļauta bezmaksas nodaļa

Jau 2014. gadā Ādams Šostaks – Microsoft programmu menedžeris un drošības izstrādātājs – publicēja grāmatu par draudu modelēšanu. Viņa grāmatā, kas ir pieejama iekurtā un brošūrā, ir paskaidrots, kā optimizēt tīkla drošību programmatūras izstrādātājiem, drošības pārvaldniekiem un drošības profesionāļiem..  

Mēs sēdējām kopā ar viņu, lai runātu par viņa grāmatu un draudu modelēšanas nozīmīgumu.

vpnMentor: Kas jums lika uzrakstīt draudu modelēšanu?

Šostaks: Es uzrakstīju draudu modelēšanu, jo draudu modelēšana ir manas drošības karjeras pamatā. Es esmu vērojis, kā tik daudz cilvēku cīnās, lai izveidotu draudu modeļus, pat viduvējus, un es sapratu, ka ir labāks veids, kā to iemācīt. Mēs, drošības cilvēki, mācāmies darot, rīkojoties, izmantojot mācekļa praksi, taču daudz kas no tā, kas mums tiek mācīts, neizmēģināts.

Veicot draudu modelēšanu, jums vajadzētu koncentrēties uz aktīviem? Nē, tas ir slazds. Kā būtu ar koncentrēšanos uz domāšanu kā uzbrucējam? Arī lamatas. Sistēma piesaista normālus, labi domājošus inženierus, kuri mēģina rīkoties pareizi, taču viņi to nedara. Tā nonāca līdz vietai, kad pat stundas runāšana ar šiem inženieriem par to, ko darīt un ko nedarīt, nebija pietiekama, tāpēc es nolēmu par to uzrakstīt grāmatu.

vpnMentor: Kādas jaunas zināšanas jūs ieguvāt, rakstot šo grāmatu?

Lielākais, ko es uzzināju grāmatas rakstīšanā, bija tas, cik liela ir draudu modelēšana. Ir veidi, kā domāt par to, ko strādājat, kas var noiet greizi, ko darīt ar to vai ja jūs labi paveicāt.

Grāmatas rakstīšana par draudu modelēšanu ir kā grāmatas rakstīšana par visu programmēšanu. Programmēšanā ir valodas, piemēram, Perl vai Haskel vai pat Excel, un ir metodes, kā to izdarīt, sākot no kopēšanas un ielīmēšanas StackOverflow līdz ļoti formālām inženiertehniskām pieejām. Ir posmi no koncepcijas līdz ieviešanai, testēšanai un ieviešanai. Man tas viss bija jāiekļauj vienā grāmatā! Bet draudu modelēšanas pamatā ir četri jautājumi:

(1) Ko mēs strādājam??

(2) Kas var noiet greizi??

(3) Ko mēs ar to darīsim??

(4) Vai mēs izdarījām labu darbu??

Es ceru, ka dalīšanās šajos uzmanības punktos palīdzēs citiem veiksmīgi ieviest draudu modeli.

Draudu modelēšana: projektēšana drošībai ir pieejama iegādei vietnē Amazon. Noklikšķiniet uz saites zemāk, lai izlasītu pirmo nodaļu. 

Noklikšķiniet šeit, lai izlasītu sadaļu no Ādama grāmatas!