Threat Modeling

Voor Threat Modeling zul je gebruik maken van een systematische methodiek om potentiële dreigingen in de systemen van PNO te identificeren. Hiervoor zul je twee dingen moeten kiezen: een manier om het systeem te representeren (oftewel een Model), en een raamwerk om potentiële dreigingen te conceptualiseren.

Een Model is een manier om het systeem op een overzichtelijke manier abstract weer te geven die je kunt gebruiken om mogelijke dreigingen in te herkennen. Dit kan een Data Flow Diagram (DFD) zijn, UML diagram, of een ander soort architecturele tekening. DFDs zijn echter de meest gebruikte methode. Meer over DFDs vind je elders in de knowledge base hier.

Raamwerken zoals STRIDE, PASTA, DREAD, of SDL, bieden een manier om op een systematische manier de componenten en assets van een systeem te analyseren op kwetsbaarheden, en inzicht te krijgen in de ernst hiervan. Voor de opdracht raden we je aan om gebruik te maken van STRIDE. Meer informatie over STRIDE en andere Threat Modeling raamwerken vind je elders in de Knowledge Base hier.

Boeken

Het boek dat wordt aanbevolen voor deze opdracht is “Threat Modeling: Designing for Security” van Adam Shostack, of hoofdstuk N uit Designing Secure Software