脅威のモデリング、本のレビュー:あなたの敵を知る

脅威モデリング:セキュリティのための設計•Adam Shostack•Wiley•624ページ•ISBN 978-1-118-80999-0•$ 60 /£42.50 /€48あなたを攻撃したいと思うかもしれない人と彼らが何を求めているかも知っていることを知ることがキーです効果的なセキュリティを設計することです。 2014年のソニーのハックは、ニューヨークタイムズ紙が報道したように、11月末には7,000人を超える従業員が就任した。CEOの断頭された頭部の不自然なイメージがコンピュータ画面に表示された。その後、ソニーはすべてのデジタルシステムをシャットダウンしました。

ソニーの脅威モデルはおそらくこのように見えました。海賊は知的財産を盗みたい、ハッカーは顧客の個人的および財務的データを盗み出したい、ジャーナリストは私たちを困惑させ、才能を盗もうとします。無力な映画のために国家によって暗黙知ったり明白に支持されたハッカーグループが会社を抹殺したがっていると想像していた人はほとんどいません。今、もちろん、彼らはそうです。

しかし、誰も想像できないあらゆる(そして考えられない)脅威に対抗するためのシステムを考案する無限のリソースを持っています。リスクの現実的な理解に基づいて選択を行う必要があります。これは、脅威モデリング:セキュリティのための設計、Adam Shostackのセキュリティ計画による考え方の徹底したガイドです。 Shostackの業界での歴史には、カナダのプライバシーツール専門家ゼロ知識システム(Zero Knowledge Systems)やセキュリティ専門家であるNetectなどのベンチャー企業や、国際金融暗号協会やプライバシー向上技術シンポジウムなどがあります。マイクロソフトのSDL脅威モデリングツールのプログラムマネージャーとして数年間働いていました。

脅威モデリングの多くは、初期ブレーンストーミングから構造化計画、チェックリストの作成、脅威の発見と表示、潜在的な攻撃の管理と緩和、ツールの検索、および上記の結果の検証方法を基本的に洗練されています。後の章では、アカウント管理と比較的新しいクラウドのベクトルについても検討します。

ショスタックがそこで止まっていれば、彼の本はまだ役に立つマニュアルになるでしょう。それが目立つのは、プライバシーとユーザビリティに対する彼の注意です。

同氏は、脅威を理解したときにプライバシーを気にかけていることが繰り返し示されていることから、プライバシーの脅威を見つけることに時間を費やしていることを警告し、時間の問題としてのプライバシーの問題を却下することは間違ったアプローチであると警告している。 Shostackは、Ian Goldbergが考案したプライバシーの脅威となるプロトコル(「不一致」とは「取引中に明らかになった参加者の身元に関する情報量」を評価する) )。

セキュリティの実践者によって一般的に無視されるユーザビリティは、人間にとって認知的に不可能なセキュリティシステムを考案すること、またはスタッフの雇用を完了するために雇われたタスクを完了するための特別な難題を加えることそれ自体の脅威として。これが回避策です。 Shostackは、多くのセキュリティ専門家の頭の中の非公式のものが「しばしば普通の人々のために軽蔑に満ちている」と主張して、人々をモデリングするための研究から得られたさまざまなアプローチを提供している。

さらに2つの章があります.1つは暗号システム特有の脅威、もう1つは組織に脅威モデルをもたらす方法です。その最後は最も難しい部分かもしれません。

セキュリティの基礎を再考する:FUDを超えて移動する方法

M2M市場はブラジルに戻ってくる

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

セキュリティ:FBIがFUDを超えてどのように移行するか、イノベーション、M2M市場がブラジルに戻ってくる、セキュリティ、FBIがCrackasのメンバーを逮捕、米国の政府関係者をハッキングした姿勢、セキュリティ、Wordpress重要なセキュリティホールを修正するようになりました

マニュアル以上のもの