Threat Modeling
Diverses méthodes de modélisation des menaces peuvent être combinées pour créer une vue plus robuste et complète des menaces potentielles. Toutes les méthodes ne sont pas exhaustives ; certains sont abstraits et d'autres se concentrent sur les gens. Certaines méthodes se concentrent spécifiquement sur les problèmes de risque ou de confidentialité. Vous trouverez ci-dessous une liste de méthodes de modélisation des menaces :
STRIDE a été inventé en 1999 et adopté par Microsoft en 2002. STRIDE est actuellement la méthode de modélisation des menaces la plus aboutie. STRIDE évalue les détails de conception du système. Modélisez le système en mouvement. STRIDE est utilisé pour identifier les entités, les événements et les limites du système en créant des diagrammes de flux de données (DFD).
PASTA est un cadre de modélisation des menaces axé sur les risques développé en 2012. Il comprend plusieurs phases, chacune avec plusieurs activités. PASTA essaie de combiner les objectifs commerciaux et les exigences techniques.
LINDUN se concentre sur les questions de confidentialité et peut être utilisé pour la sécurité des données. Cette méthode commence par un DFD système qui définit les flux de données, les magasins de données, les processus et les entrées externes du système. LINDUN peut être utilisé pour aider à identifier si une menace est applicable au système et créer des arborescences de menaces en analysant les éléments du modèle du point de vue des catégories de menaces.
Les arbres d'attaque sont des diagrammes qui montrent les attaques sur un système sous forme d'arborescence. La racine de l’arbre est la cible de l’attaque et les feuilles sont un moyen d’atteindre cet objectif. Chaque objectif est représenté sous la forme d'un arbre distinct. Ainsi, l’analyse des menaces du système produit une série d’arbres d’attaques.
Persona non grata (PnG) se concentre sur les motivations et les capacités des attaquants humains. Il caractérise les utilisateurs comme des archétypes capables d'utiliser le système à mauvais escient et oblige les analystes à considérer le système du point de vue d'une utilisation non intentionnelle.
Trike a été créé comme cadre pour les audits de sécurité utilisant la modélisation des menaces comme technique. Analyse la modélisation des menaces dans une perspective défensive et de gestion des risques.
VAST est basé sur ThreatModeler, une plateforme automatisée de modélisation des menaces. Son évolutivité et sa convivialité permettent aux grandes entreprises de l'adopter pour l'ensemble de leur infrastructure, produisant des résultats exploitables et fiables pour les différentes parties prenantes.
Lequel utilisez-vous dans votre entreprise ?
STRIDE a été inventé en 1999 et adopté par Microsoft en 2002. STRIDE est actuellement la méthode de modélisation des menaces la plus aboutie. STRIDE évalue les détails de conception du système. Modélisez le système en mouvement. STRIDE est utilisé pour identifier les entités, les événements et les limites du système en créant des diagrammes de flux de données (DFD).
PASTA est un cadre de modélisation des menaces axé sur les risques développé en 2012. Il comprend plusieurs phases, chacune avec plusieurs activités. PASTA essaie de combiner les objectifs commerciaux et les exigences techniques.
LINDUN se concentre sur les questions de confidentialité et peut être utilisé pour la sécurité des données. Cette méthode commence par un DFD système qui définit les flux de données, les magasins de données, les processus et les entrées externes du système. LINDUN peut être utilisé pour aider à identifier si une menace est applicable au système et créer des arborescences de menaces en analysant les éléments du modèle du point de vue des catégories de menaces.
Les arbres d'attaque sont des diagrammes qui montrent les attaques sur un système sous forme d'arborescence. La racine de l’arbre est la cible de l’attaque et les feuilles sont un moyen d’atteindre cet objectif. Chaque objectif est représenté sous la forme d'un arbre distinct. Ainsi, l’analyse des menaces du système produit une série d’arbres d’attaques.
Persona non grata (PnG) se concentre sur les motivations et les capacités des attaquants humains. Il caractérise les utilisateurs comme des archétypes capables d'utiliser le système à mauvais escient et oblige les analystes à considérer le système du point de vue d'une utilisation non intentionnelle.
Trike a été créé comme cadre pour les audits de sécurité utilisant la modélisation des menaces comme technique. Analyse la modélisation des menaces dans une perspective défensive et de gestion des risques.
VAST est basé sur ThreatModeler, une plateforme automatisée de modélisation des menaces. Son évolutivité et sa convivialité permettent aux grandes entreprises de l'adopter pour l'ensemble de leur infrastructure, produisant des résultats exploitables et fiables pour les différentes parties prenantes.
Lequel utilisez-vous dans votre entreprise ?
Commentaires
Enregistrer un commentaire