Threat Modeling Frameworks¶
STRIDE¶
STRIDE is een raamwerk Threat Modeling dat oorspronkelijk is ontwikkeld in 1999 voor intern gebruik binnen Microsoft, om dreigingen en kwetsbaarheden in producten te kunnen identificeren tijdens hun ontwerpfase. Het deelt dreigingen op in zes verschillende categorieën, en omschrijft een systematiek om de potentie voor (en potentiële impact van) deze dreigingen te identificeren in verschillende componenten van een system. 10 jaar later werd STRIDE publiek beschikbaar gemaakt, en hoewel Microsoft ondertussen is overgestapt op andere methodoes, is STRIDE nog steeds één van de meest gebruikte Threat Modeling raamwerken. Dit is vooral te danken aan de simpliciteit en intuïtive implementatie, waardoor het ook goed is toe te passen in kleine organisaties. STRIDE is ook het aanbevolen raamwerk voor deze opdracht.
STRIDE is oorsponkelijk omschreven door Loren Kohnfelder en Praerit Garg in de publicatie “The Threats To Our Products”, en tegenwoordig biedt Microsoft zelf online een praktische handleiding voor het systematisch toepassen van STRIDE in een ontwerp.
DREAD¶
Na STRIDE is Microsoft overgestapt op DREAD. DREAD is kortgezegd een evolutie van STRIDE, waarbij ook de ernst van potentiële dreigingen wordt geëvalueerd aan de hand van vijf verschillende eigenschappen. DREAD helpt bij grotere organisaties om grote hoeveelheden kwetsbaarheden te kunnen prioriteren, maar kan erg veel overhead hebben voor kleine organisaties.
SDL¶
Tegenwoordig maakt Microsoft gebruik van de Microsoft Security Development Lifecycle (SDL). SDL is een volwassenere en geraffineerdere evolutie van STRIDE, geschikt voor grote organisaties met complexe en interacterende systemen, maar in de kern van SDL ligt nog steeds een variatie van STRIDE: “Stride Per Element”.
PASTA¶
PASTA is een dynamischer raamwerk voor Threat Modeling, dat rekening probeert te houden met de doorlopende ontwikkelingen van dreigingen, en de verschillen in context per organisatie. Het voordeel hiervan is data PASTA waarschijnlijk beter aansluit op de hedendaagse realiteit van je organisatie, maar om dit te behalen is ook significant meer werk nodig.
PASTA is ontwikkeld door Versprite en wordt uitgelegd in dit artikel. Meer informatie kun je ook vinden in het artikel “A PASTA Threat Modeling Example”, of het boek “Application Threat Modeling” van Marco Morana.
ATASM¶
Context volgt ASAP. Nuttige links: