แบบจำลองการคุกคามโดย Adam Shostack – รวมบทที่ฟรี

ย้อนกลับไปในปี 2014 Adam Shostack – ผู้จัดการโครงการและผู้พัฒนาระบบความปลอดภัยสำหรับ Microsoft – ตีพิมพ์หนังสือเกี่ยวกับการสร้างแบบจำลองการคุกคาม หนังสือของเขาซึ่งมีอยู่ใน Kindle และปกอ่อนอธิบายวิธีเพิ่มประสิทธิภาพความปลอดภัยเครือข่ายสำหรับนักพัฒนาซอฟต์แวร์ผู้จัดการความปลอดภัยและผู้เชี่ยวชาญด้านความปลอดภัย.  

เรานั่งลงกับเขาเพื่อพูดคุยเกี่ยวกับหนังสือของเขาและความสำคัญของการคุกคามแบบ.

vpnMentor: อะไรทำให้คุณเขียนแบบจำลองการคุกคาม?

Shostack: ฉันเขียน Threat Modeling เพราะการสร้างแบบจำลองภัยคุกคามเป็นหัวใจสำคัญของอาชีพความปลอดภัยของฉัน ฉันได้เฝ้าดูผู้คนมากมายที่ดิ้นรนเพื่อสร้างแบบจำลองการคุกคามแม้กระทั่งแบบธรรมดาและฉันก็คิดว่ามีวิธีที่ดีกว่าในการสอน เรารักษาความปลอดภัยผู้เรียนรู้โดยการกระทำโดยการกระทำโดยการฝึกงาน แต่สิ่งที่เราสอนให้ทำนั้นยังไม่ผ่านการทดสอบ.

เมื่อสร้างแบบจำลองการคุกคามคุณควรมุ่งเน้นไปที่สินทรัพย์หรือไม่ ไม่มันเป็นกับดัก สิ่งที่เกี่ยวกับการมุ่งเน้นความคิดเหมือนผู้โจมตี? ยังเป็นกับดัก ระบบจับวิศวกรที่มีความหมายดีและพยายามทำสิ่งที่ถูกต้อง แต่พวกเขาไม่ประสบความสำเร็จ ถึงจุดที่แม้แต่พูดกับวิศวกรเหล่านี้เป็นเวลาหนึ่งชั่วโมงเกี่ยวกับสิ่งที่ต้องทำและสิ่งที่ไม่ควรทำก็ไม่เพียงพอดังนั้นฉันจึงตัดสินใจเขียนหนังสือเกี่ยวกับเรื่องนี้.

vpnMentor: คุณได้รับความรู้อะไรใหม่ในขณะที่เขียนหนังสือเล่มนี้?

สิ่งที่ยิ่งใหญ่ที่สุดที่ฉันได้เรียนรู้ในการเขียนหนังสือเล่มนี้ก็คือการสร้างแบบจำลองภัยคุกคามครั้งใหญ่เพียงใด มีหลายวิธีที่จะคิดเกี่ยวกับสิ่งที่คุณกำลังทำอะไรผิดพลาดเกิดขึ้นทำอะไรกับมันหรือถ้าคุณทำได้ดี.

การเขียนหนังสือเกี่ยวกับแบบจำลองการคุกคามนั้นเหมือนกับการเขียนหนังสือเกี่ยวกับการเขียนโปรแกรมทั้งหมด ในการเขียนโปรแกรมมีภาษาเช่น Perl หรือ Haskel หรือแม้แต่ Excel และมีวิธีการตั้งแต่คัดลอกและวางจนถึง StackOverflow ถึงวิธีการทางวิศวกรรมที่เป็นทางการมาก มีขั้นตอนตั้งแต่แนวคิดไปจนถึงการใช้งานการทดสอบและการปรับใช้ ฉันต้องใส่ทั้งหมดลงในหนังสือเล่มเดียว! แต่ที่แกนกลางของการสร้างแบบจำลองการคุกคามมีสี่คำถาม:

(1) เรากำลังทำอะไรอยู่?

(2) สิ่งที่ผิดพลาด?

(3) เราจะทำอะไรกับมัน?

(4) เราทำได้ดีหรือไม่?

ฉันหวังว่าการแบ่งปันจุดโฟกัสเหล่านี้จะช่วยให้ผู้อื่นประสบความสำเร็จในการคุกคามโมเดล.

การสร้างแบบจำลองภัยคุกคาม: การออกแบบเพื่อความปลอดภัยมีให้ซื้อใน Amazon คลิกที่ลิงค์ด้านล่างเพื่ออ่านบทแรก. 

คลิกที่นี่เพื่ออ่านบทจากหนังสือของอดัม!