Enable javascript in your browser for better experience. Need to know to enable it?

黑料门

威胁建模
威胁建模

威胁建模

威胁建模是一种基于风险的方法,用于保护公司 IT 系统。它的基础是识别威胁和减轻威胁的方法。


威胁建模是识别基础设施所有部分的风险,并与相应人员合作以减轻这些风险的方法。这意味着从特定公司的潜在威胁开始,而不是仅仅遵循清单。

它是什么?

识别您所在技术产业的 IT 安全风险的方法。

有何益处?

威胁建模应有助于识别威胁,并优先考虑最重要的威胁。

需考量的因素?

没有标准方法来处理构成威胁模型的问题,为公司创建适当的模型并不简单。

如何应用?

威胁建模越来越多地用于采用现代软件工程实践的公司。

它是什么?


威胁建模是识别 IT 系统所有部分的风险,并与相应人员合作以减轻这些风险的方法。这意味着从特定公司的潜在威胁开始,而不是仅仅遵循清单。


这个概念的核心非常简单。就是了解贵司所面临的威胁和相关的风险。有了这些知识,您就可以采用基于风险的方式保护您的系统。


我们认为,学习威胁建模是开发人员的一项关键技能。我们需要一种敏捷的方法,将安全需求内置为首要需求,并正确使用工具来调整复杂性。

有何益处?


威胁建模的目的是创建一个基于风险的方法来确保您公司的安全性——您专注于对您影响最大的威胁。


它也可以成为建立共同所有权文化的重要组成部分,由此安全是每个人都面临的问题。这种共同责任可以帮助您的团队更早地应对潜在问题(在解决这些问题的代价变得高昂之前)。

需考量的因素?


术语“威胁模型”对于大多数人来说是晦涩的专业术语,增加了不必要的神秘性。如果您研究威胁建模的主题,信息量可能会非常大,很难采取行动。没有对于“威胁模型”的商定标准。

?

了解系统的威胁模型并不简单。对任何系统来说,您都可以想象到无限数量的威胁,其中许多威胁都是可能发生的。您可以想象的许多威胁会以意想不到、不可预测甚至混乱的方式结合在一起。与文化、工艺和技术有关的因素都有可能造成威胁。


这种复杂性和不确定性是网络安全问题的根源。这就是需要软件开发团队就安全要求达成一致的原因。

如何应用?


威胁建模是敏捷安全实践的一部分,根据安全实践,软件开发团队在他们的软件中嵌入安全性设计。从风险管理的角度来看,让产物负责人参与进来是很好的改进机会。产物负责人对用户行为和业务环境有深入了解,这是软件开发人员所缺乏的。开发人员需要了解特定服务对业务的价值的影响,以及如果数据暴露或丢失的影响。

想要获取更多内容?

Would you like to suggest a topic to be decoded?

Just leave your email address and we'll be in touch the moment it's ready.

Marketo Form ID is invalid !!!

Thank you for your suggestion. We'll let you know when that topic's been decoded.