Modelatge d’amenaça d’Adam Shostack – Capítol gratuït inclòs

El 2014, Adam Shostack, gestor de programes i desenvolupador de seguretat de Microsoft, va publicar un llibre sobre modelatge d’amenaça. El seu llibre, disponible en Kindle i paperback, explica com optimitzar la seguretat de xarxa per a desenvolupadors de programari, gestors de seguretat i professionals de la seguretat.  

Ens vam asseure amb ell per parlar del seu llibre i la importància del model d’amenaça.

vpnMentor: què us va fer escriure Modelització d’amenaça?

Shostack: vaig escriure Modelització d’amenaça perquè el modelatge d’amenaça és el nucli de la meva carrera en seguretat. He vist tanta gent lluitar per crear models d’amenaça, fins i tot mediocres, i vaig pensar que hi havia una manera millor d’ensenyar-ho. La gent de seguretat aprenem fent, per acció, per aprenentatge, però molta cosa del que ens han ensenyat a fer no es prova.

En el model de les amenaces, us heu de centrar en els actius? No, és una trampa. Què passa amb centrar-se en pensar com un atacant? També una trampa. El sistema atrau a enginyers normals i ben intencionats que intenten fer les coses bé, però no tenen èxit. Va arribar al punt que fins i tot parlar amb aquests enginyers durant una hora sobre què fer i què no fer no era suficient, així que vaig decidir escriure un llibre sobre això.

vpnMentor: Quin nou coneixement vas obtenir en escriure aquest llibre?

El més important que vaig aprendre a escriure el llibre va ser la importància que té el model d’amenaça. Hi ha maneres de pensar en què estàs treballant, en què es pot anar malament, en què es pot fer al respecte o si ha fet una bona feina.

Escriure un llibre sobre modelatge d’amenaça és com escriure un llibre sobre tota la programació. En la programació, hi ha llenguatges, com Perl o Haskel o fins i tot Excel, i hi ha mètodes per fer-ho, des de la còpia i l’enganxament a StackOverflow fins a enfocaments d’enginyeria molt formals. Hi ha etapes des del concepte fins a la implementació, fins a les proves i el desplegament. Vaig haver de cabre tot això en un sol llibre. Però en el nucli del model d’amenaça hi ha quatre preguntes:

(1) En què treballem?

(2) Què pot anar malament?

(3) Què anem a fer al respecte?

(4) Hem fet una bona feina?

Espero que comparteixi aquests punts d’atenció ajudin a altres models d’amenaces amb èxit.

Modelització d’amenaça: el disseny de seguretat està disponible per a compra a Amazon. Feu clic a l’enllaç següent per llegir el primer capítol. 

Feu clic aquí per llegir un capítol del llibre d’Adam!

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me