security
Оценка угроз системам компании
Методология выявления и оценки угроз информационной безопасности
•
#security
#threat-modeling
#risk-assessment
#audit
Оценка угроз системам компании
Систематический подход к выявлению, анализу и оценке угроз информационной безопасности.
STRIDE модель
enum ThreatCategory {
SPOOFING = 'Spoofing',
TAMPERING = 'Tampering',
REPUDIATION = 'Repudiation',
INFORMATION_DISCLOSURE = 'Information Disclosure',
DENIAL_OF_SERVICE = 'Denial of Service',
ELEVATION_OF_PRIVILEGE = 'Elevation of Privilege'
}
interface Threat {
category: ThreatCategory;
description: string;
likelihood: 'Low' | 'Medium' | 'High';
impact: 'Low' | 'Medium' | 'High';
riskLevel: 'Low' | 'Medium' | 'High' | 'Critical';
}
Моделирование угроз
Используйте Data Flow Diagrams для визуализации потоков данных и выявления угроз.
OWASP Top 10
Регулярно проверяйте приложения на наличие уязвимостей из OWASP Top 10.
Автоматизированное сканирование
- SAST - статический анализ кода
- DAST - динамическое тестирование
- SCA - анализ зависимостей
Отчет об оценке
Документируйте найденные угрозы и план их устранения.