以威脅模型化為焦點的方法
威脅模型化是一個絕佳技術,可協助您在開發週期內及早發現問題。 選擇有正確焦點的方法可協助您量身打造威脅模型化練習,以便找出可操作性更高的威脅及其解決方法。
以系統為焦點的方法
您的目標是要保護整個系統。 在此,您可以查看每個程序、資料存放區、資料流程、外部實體和信任界限。 有了這些資訊,您將選取安全性控制措施以利保護系統。
架構可協助您分析系統及其影響其他資產的方式,這包括:
資產類型 | 範例 |
---|---|
邏輯 | 原始程式碼、API 和邏輯安全性控制 |
實體 | 伺服器和實體安全性控制資產 |
以攻擊者為焦點的方法
在以攻擊者為焦點的方法中,您會強調攻擊者、其動機、途徑,以及其可在系統中造成破壞的所有方法。 此方法考量的是進入點,而不是整個系統。
這種方法可讓您將焦點放在保有系統高機密性資料的重要資產。 重點會放在保護這些資產,而非整個系統。
以資產為焦點的方法
在此,您將評估每個資產的風險。 此方法會根據分類資料處理等項目,識別重要資產,並主要聚焦於保護重要資產。
注意
Microsoft 工程師將焦點放在保護系統。 滲透測試小組則將焦點同時放在保護系統與了解攻擊者。