Modelowanie Zagrożeń

Wiedza o tym, kto może zaatakować Twój system lub po prostu informacja, co może pójść nie tak, daje dużą przewagę w procesie wytwarzania oprogramowania. Modelowanie zagrożeń stawia odpowiednie pytania już na samym początku.

Nasze usługi związane z modelowaniem zagrożeń pokrywają szeroki zakres przypadków dla istniejących oraz projektowanych aplikacji i systemów:

1. Sesja modelowania zagrożeń – pojedynczy warsztat z kluczowymi interesariuszami (architekci, deweloperzy, administratorzy i/lub właściciele) na temat konkretnego wdrożenia.
2. Konsultacje dot. procesu modelowania zagrożeń – analiza istniejącego procesu SDLC i sugestie implementacji modelowania zagrożeń dla wszystkich projektów. 
3. Szkolenie z modelowania zagrożeń – zdalne lub osobiste warsztaty, skierowane na nauczenie “czempionów bezpieczeństwa”, jak prowadzić samemu sesje modelowania zagrożeń. 
4. Materiały dodatkowe – sesje modelowania zagrożeń na przykładach aplikacji i systemów klienta, z 20-30 min podsumowaniem w formie wideo (format jak w serii “Instant Threat Modeling”).
5. Bazowe modele zagrożeń – dla często używanych komponentów, takich jak infrastruktura AWS lub konkretne API – bazowy model zagrożeń może zostać zastosowany do wszystkich funkcji lub systemów korzystających z tego komponentu.

Konsumowanie wyników modelowania zagrożeń

Modelowanie zagrożeń otwiera oczy na nowe wektory ataku i pozwala ich uniknąć. Wynik sesji składa się z zagrożeń, dla których mogą zostać zaprojektowane wymagania bezpieczeństwa i przypadki testowe. Dzięki temu mogą z nich skorzystać:

1. Właściciele projektu – dla zrozumienia ryzyk. 
2. Architekci – w celu przeprojektowania usługi i uniknięcia zagrożeń. 
3. Deweloperzy – żeby zaimplementować rekomendacje dla zidentyfikowanych zagrożeń. 
4. Dział bezpieczeństwa – żeby zdefiniować zakres testów penetracyjnych i zmierzyć pokrycie testów.
5. Testerzy bezpieczeństwa – żeby skupić się na kluczowych zagrożeniach i zrozumieć metrykę istotności ryzyka
.

Wartość dodana modelowania zagrożeń

Zaimplementowanie modelowania zagrożeń w procesie SDLC pozwala nie tylko uniknąć problemów, ale również zaoszczędzić czas związany z wyprowadzaniem podatności. Na wcześniejszych etapach SDLC (projekt, kodowanie) jest to dużo łatwiejsze, niż gdy oprogramowanie jest “na produkcji”. Niektóre podatności nie są możliwe do wyprowadzenia bez przeprojektowania całego rozwiązania. Podobnie z fazą testowania – jeśli większość problemów została już rozwiązana, zespół testowy spędza mniej czasu na podstawach i może się skupić na głębszych problemach. 

Jeśli interesuje Cię modelowanie zagrożeń na przykładzie Twoich rozwiązań informatycznych wypełnij nasz formularz kontaktowy.

Case study

Jak zwiększyliśmy bezpieczeństwo aplikacji do bankowości internetowej?

Klientem był jeden z wiodących banków, oferujący serwis internetowy dla podmiotów indywidualnych i biznesowych. Zakres testu obejmował bezpieczeństwo serwisu transakcyjnego, usług zarządzania płatnościami, giełdy finansowej oraz produkty pożyczkowe.

Wkrótce więcej…
Zaufali nam

Zostań naszym klientem

I zbudujmy razem bezpieczną przyszłość

Napisz do nas