Modelowanie Zagrożeń

Wiedza o tym, kto może zaatakować Twój system lub po prostu informacja, co może pójść nie tak, daje dużą przewagę w procesie wytwarzania oprogramowania. Modelowanie zagrożeń stawia odpowiednie pytania już na samym początku.

Nasze usługi związane z modelowaniem zagrożeń pokrywają szeroki zakres przypadków dla istniejących oraz projektowanych aplikacji i systemów:

1. Sesja modelowania zagrożeń – pojedynczy warsztat z kluczowymi interesariuszami (architekci, deweloperzy, administratorzy i/lub właściciele) na temat konkretnego wdrożenia.
2. Konsultacje dot. procesu modelowania zagrożeń – analiza istniejącego procesu SDLC i sugestie implementacji modelowania zagrożeń dla wszystkich projektów. 
3. Szkolenie z modelowania zagrożeń – zdalne lub osobiste warsztaty, skierowane na nauczenie “czempionów bezpieczeństwa”, jak prowadzić samemu sesje modelowania zagrożeń. 
4. Materiały dodatkowe – sesje modelowania zagrożeń na przykładach aplikacji i systemów klienta, z 20-30 min podsumowaniem w formie wideo (format jak w serii “Instant Threat Modeling”).
5. Bazowe modele zagrożeń – dla często używanych komponentów, takich jak infrastruktura AWS lub konkretne API – bazowy model zagrożeń może zostać zastosowany do wszystkich funkcji lub systemów korzystających z tego komponentu.

Konsumowanie wyników modelowania zagrożeń

Modelowanie zagrożeń otwiera oczy na nowe wektory ataku i pozwala ich uniknąć. Wynik sesji składa się z zagrożeń, dla których mogą zostać zaprojektowane wymagania bezpieczeństwa i przypadki testowe. Dzięki temu mogą z nich skorzystać:

1. Właściciele projektu – dla zrozumienia ryzyk. 
2. Architekci – w celu przeprojektowania usługi i uniknięcia zagrożeń. 
3. Deweloperzy – żeby zaimplementować rekomendacje dla zidentyfikowanych zagrożeń. 
4. Dział bezpieczeństwa – żeby zdefiniować zakres testów penetracyjnych i zmierzyć pokrycie testów.
5. Testerzy bezpieczeństwa – żeby skupić się na kluczowych zagrożeniach i zrozumieć metrykę istotności ryzyka.

Wartość dodana modelowania zagrożeń

Zaimplementowanie modelowania zagrożeń w procesie SDLC pozwala nie tylko uniknąć problemów, ale również zaoszczędzić czas związany z wyprowadzaniem podatności. Na wcześniejszych etapach SDLC (projekt, kodowanie) jest to dużo łatwiejsze, niż gdy oprogramowanie jest “na produkcji”. Niektóre podatności nie są możliwe do wyprowadzenia bez przeprojektowania całego rozwiązania. Podobnie z fazą testowania – jeśli większość problemów została już rozwiązana, zespół testowy spędza mniej czasu na podstawach i może się skupić na głębszych problemach. 

Jeśli interesuje Cię modelowanie zagrożeń na przykładzie Twoich rozwiązań informatycznych wypełnij nasz formularz kontaktowy.