脅威分析と攻撃モデリングの関係

脅威分析と攻撃モデリングの関係は何でしょうか。

どちらもかなり近く、視点も異なりますが、関係、つまり組織にどのように統合できるかを知る必要があります。

更新：ネット上で見つかった2つの定義は次のとおりです。

サイバー脅威分析は、特定の組織に関連する内部および外部の情報の脆弱性に関する知識を実際の組織と照合するプロセスです。 -世界のサイバー攻撃。

脅威の分析は、

• 脅威/リスクの範囲を定義する
• 必要な情報の収集/収集
• データの分析（リスクの脅威/脆弱性分析およびリスクのレベルの決定）
• アクション、軽減、および予測 [参照]

攻撃モデリング「ここで指摘する必要があるのは、敵対的な視点から物事をモデル化しようとすると、脅威ではなく攻撃モデリングであるということです。モデリング：脆弱性から始めて、どのようなダメージを与えることができるかを確認すると、攻撃をモデリングします。これが、従来の「バグハンティング」「脅威モデリング」の動作方法です。したがって、技術的には、で脅威モデリングを行っていません。すべて、私たちは攻撃モデリングを行ってきました。

例：脅威：許可されていない個人に顧客データを公開する。リスク：顧客データが公開される可能性は中程度であり、実現した場合、顧客ロイヤルティの喪失に加えて、5,000,000ドルの経済的損失が発生します。攻撃：SQLインジェクションの脆弱性を悪用して、悪意のある人物が顧客データベースをダウンロードできるようにします。セキュリティ評価、脅威モデリング、侵入テストを実行するときは、この違いを覚えておくことが重要です。」 参照