Modelowanie Zagrożeń
Nasze usługi związane z modelowaniem zagrożeń pokrywają szeroki zakres przypadków dla istniejących oraz projektowanych aplikacji i systemów:
1. Sesja modelowania zagrożeń – pojedynczy warsztat z kluczowymi interesariuszami (architekci, deweloperzy, administratorzy i/lub właściciele) na temat konkretnego wdrożenia.
2. Konsultacje dot. procesu modelowania zagrożeń – analiza istniejącego procesu SDLC i sugestie implementacji modelowania zagrożeń dla wszystkich projektów.
3. Szkolenie z modelowania zagrożeń – zdalne lub osobiste warsztaty, skierowane na nauczenie “czempionów bezpieczeństwa”, jak prowadzić samemu sesje modelowania zagrożeń.
4. Materiały dodatkowe – sesje modelowania zagrożeń na przykładach aplikacji i systemów klienta, z 20-30 min podsumowaniem w formie wideo (format jak w serii “Instant Threat Modeling”).
5. Bazowe modele zagrożeń – dla często używanych komponentów, takich jak infrastruktura AWS lub konkretne API – bazowy model zagrożeń może zostać zastosowany do wszystkich funkcji lub systemów korzystających z tego komponentu.
Konsumowanie wyników modelowania zagrożeń
Modelowanie zagrożeń otwiera oczy na nowe wektory ataku i pozwala ich uniknąć. Wynik sesji składa się z zagrożeń, dla których mogą zostać zaprojektowane wymagania bezpieczeństwa i przypadki testowe. Dzięki temu mogą z nich skorzystać:
1. Właściciele projektu – dla zrozumienia ryzyk.
2. Architekci – w celu przeprojektowania usługi i uniknięcia zagrożeń.
3. Deweloperzy – żeby zaimplementować rekomendacje dla zidentyfikowanych zagrożeń.
4. Dział bezpieczeństwa – żeby zdefiniować zakres testów penetracyjnych i zmierzyć pokrycie testów.
5. Testerzy bezpieczeństwa – żeby skupić się na kluczowych zagrożeniach i zrozumieć metrykę istotności ryzyka.
Wartość dodana modelowania zagrożeń
Zaimplementowanie modelowania zagrożeń w procesie SDLC pozwala nie tylko uniknąć problemów, ale również zaoszczędzić czas związany z wyprowadzaniem podatności. Na wcześniejszych etapach SDLC (projekt, kodowanie) jest to dużo łatwiejsze, niż gdy oprogramowanie jest “na produkcji”. Niektóre podatności nie są możliwe do wyprowadzenia bez przeprojektowania całego rozwiązania. Podobnie z fazą testowania – jeśli większość problemów została już rozwiązana, zespół testowy spędza mniej czasu na podstawach i może się skupić na głębszych problemach.
Jeśli interesuje Cię modelowanie zagrożeń na przykładzie Twoich rozwiązań informatycznych wypełnij nasz formularz kontaktowy.