Nous sommes une petite entreprise et nous n'avons pas de ressources que nous pouvons consacrer à la modélisation des menaces lourds. Toutefois, si nous pouvions trouver un cadre de modélisation de la menace assez léger, je pense qu'il y a de la valeur dans la documentation des flux de données et des vulnérabilités de la surface de l'exercice.
J'ai regardé le plus étroitement à la foulée, mais en ce qui concerne les diagrammes de flux de données (DFDS), je suis coincé - peut-être parce que les demandes (s) sont déjà construites et que je semble inclure des minutiatiques qui n'appartiennent probablement pas.
J'ai aussi trouvé Model Modeling Express Mais il ne sera pas facile de trouver le temps de développement pour aider à l'exercice.
Idéalement, c'est quelque chose qui peut être travaillé coup fragé par une personne. Bien que je comprenne la valeur dans un point de vue différent, ce n'est probablement probablement pas réaliste à ce moment-là, car tout le monde est occupé.
Étant donné que la demande est construite, il y a toujours une valeur ajoutée à la modélisation de la menace? Devrais-je simplement pointer W3AF ou Nikto dans mes applications périodiquement et assainir les vulnérabilités?
En bref, quel est le meilleur coup pour le Buck pour une petite entreprise en termes de découverte de menaces? Quel modèle ou quel cadre produira des résultats exploitables avec un investissement modeste de ressources?
Tia
La modélisation des menaces est vraiment une compétence, basée sur l'expérience, après avoir appris ce qui fonctionne et ce qui ne fonctionne pas.
Je ne pense pas qu'un choix de cadre facilitera les choses beaucoup plus facilement, vous aurez toujours les mêmes problèmes et difficultés que vous avez maintenant.
Au contraire, je recommanderais de la plus grande place comme le meilleur endroit pour démarrer et ajouter plus tard des techniques supplémentaires selon les besoins.
Il est probablement plus probable que vous avez juste besoin de quelques conseils sur comment à faire menace la modélisation efficace, simple changement de la méthode ne serait pas votre solution miracle.
Mes recommandations:
Quelques réflexions supplémentaires sur TM, selon vos questions supplémentaires à la fin:
Sera certainement pointer simplement un scanner d'applications Web approprié à vos serveurs plus facile . Cependant, je pense que TM serait beaucoup plus efficace et à long terme serait également plus efficace (pour de nombreuses raisons, cependant).
Même si l'application existe déjà, il est toujours utile de revenir en arrière et analyser - certaines choses seront plus faciles (moins devinettes), certaines choses ne peuvent se dérouler, mais vous pouvez découvrir quels types de défauts sont intéressants . C'est ce qui peut vous aider à revenir en arrière et à résoudre des problèmes spécifiques, pas seulement aux techniques qui ne s'appliquent pas à votre entreprise. Et pire des cas - tout ce qu'il va faire est de vous aider à concentrer vos efforts de test dans des zones plus " intéressant ", au lieu de-test de masse l'ensemble du système.
Certains liens que j'ai trouvés utiles dans le passé lorsqu'ils enseignent aux autres comment faire TM:
La véronon a un cadre ouvert qu'ils ont développé avec l'industrie. Je trouve extrêmement léger et il pourrait être utile que vous utilisiez pour la modélisation des menaces. Vous pouvez trouver la documentation communautaire à: https://verisframework.wiki.zoho.com/ .
Microsoft avait l'outil d'analyse et de modélisation des menaces qui semblaient intégrer beaucoup de leurs informations sur la foulée/redoute, ainsi que des contre-mesures aux menaces de leurs menaces et de leurs contre-mesures.
Certaines des méthodologies et des outils là-bas:
Modélisation Microsoft Menace - semble très technique/ingénierie centrée avec des analystes de sécurité assaisonnées nécessaires pour créer des modèles de menace détaillés. Dans un environnement agile, la mise à l'échelle pourrait être un problème.
Les pâtes (processus de simulation d'attaque et d'analyse des menaces) - ont trouvé cela ici . Cette méthodologie semble que cela impliquerait toutes les parties prenantes du SDLC, y compris vos développeurs.
Trike - Modélisation des menaces en prenant des risques en perspective.
Outils