私たちは小さな会社であり、ヘビーウェイトの脅威のモデリングに専念できるリソースがありません。ただし、かなり軽量な脅威モデリングフレームワークを見つけることができた場合、演習で浮上したデータフローと脆弱性を文書化することに価値があると思います。
私はSTRIDEを最も詳しく調べましたが、データフローダイアグラム(DFD)に関しては、行き詰まっています。おそらく、アプリケーションが既にビルドされていて、おそらく属していない特徴を含んでいるようです。
私も Threat Modeling Express を見つけましたが、演習を支援する開発の時間を得るのは簡単ではありません。
理想的には、一人で少しずつ作業できるものです。私はさまざまな視点を持つことの価値を理解していますが、皆が忙しいので、現時点ではおそらく現実的ではありません。
アプリケーションが構築されているため、脅威モデリングにはまだ価値がありますか?アプリを定期的にw3afまたはniktoに向けて、脆弱性を修正する必要がありますか?
要するに、脅威を発見するという点で、小企業にとっての投資の最高の強みは何ですか?リソースの適度な投資で実用的な結果をもたらすモデルまたはフレームワークはどれですか?
TIA
脅威モデリングは、実際に機能するものと機能しないものを学習した後の経験に基づくスキルです。
フレームワークを選択することで物事がはるかに簡単になるとは思いません。現在と同じ問題と困難がまだあります。
それどころか、開始に適した場所としてSTRIDE-per-elementを推奨し、後で必要に応じて追加のテクニックを追加します。
脅威のモデリングを効率的に行うには、howへのポインタが必要なだけの可能性が高いです。
私のおすすめ:
最後に追加の質問として、TMに関するいくつかの追加の考え:
適切なWebアプリスキャナーをサーバーに向けるだけで、間違いなく簡単になります。ただし、TMの方がはるかに効果的であり、長期的には効率もよくなると思います(さまざまな理由により、トピックは異なります)。
アプリはすでに存在していますが、戻って分析することは依然として価値があります-簡単になるもの(当て推量が少ない)、うまくいかないものもありますが、欠陥の種類興味深いです。これは、ビジネスに当てはまらない技術だけでなく、特定の問題に戻って修正するのに役立つものです。そして最悪の場合、システム全体を大量にテストするのではなく、「もっと」「興味深い」領域にテストを集中させることができます。
TMの実行方法を他の人に教えるときに過去に参考にしたいくつかのリンク:
Verisonには、業界とともに開発したオープンフレームワークがあります。非常に軽量で、脅威のモデリングに使用すると便利です。コミュニティのドキュメントは https://verisframework.wiki.zoho.com/ にあります。
マイクロソフトには、STRIDE/DREAD情報の多くと、脅威と対策のベストプラクティスによる脅威への対策を組み込んだ脅威分析およびモデリングツールがありました。
そこにいくつかの方法論とツール:
Microsoft Threat Modeling-詳細な脅威モデルを構築するために必要な熟練したセキュリティアナリストがいる技術/エンジニアリング中心のようです。 AGILE環境では、スケーリングが問題になる可能性があります。
PASTA(攻撃シミュレーションと脅威分析のプロセス)-これが見つかりました ここ 。この方法論は、開発者を含むSDLCのすべての利害関係者を巻き込むようです。
Trike-リスクを視野に入れて脅威をモデリング。
ツール