Threat Modeling
SecurityОпределение
Threat Modeling (Моделирование угроз) — это практика системного выявления, анализа и оценки потенциальных угроз, уязвимостей, атакующих сценариев и возможных последствий для программных систем и инфраструктуры.
Ценность
Технология помогает выявлять риски безопасности на ранних этапах, принимать более обоснованные архитектурные и инженерные решения и снижать стоимость устранения уязвимостей до выхода изменений в production.
Применение
Технология реализуется с помощью анализа архитектуры, сценариев атак, доверительных границ, критичных активов и потенциальных векторов угроз, а также связана со следующими технологиями на радаре: Security Engineering, OWASP Top 10, Static Application Security Testing, Policy as Code, Secure Supply Chain, Runtime Security, Software Bill of Materials, Architecture as Code, Zero Trust Security.
Контекст
Наиболее актуальна для средних и крупных технологических компаний, а также Enterprise организаций со средней и высокой инженерной зрелостью, где уже есть сложные распределенные системы, критичные данные, высокие требования к безопасности и необходимость встраивать практики безопасности в инженерные процессы.
Зрелость
Относится к уровню Adopt, потому что эта практика давно доказала практическую ценность как устойчивый способ раннего выявления рисков безопасности и уже является важной частью зрелой модели безопасности в разработке и архитектуре.