Threat Modeling - Подборка статей и курсов
Решил запустить серию постов с подборкой материала по каждому этапу DevSecOps. Начнем с Design/Plan, а именно подборки статей и курсов по Threat Modeling (моделирование угроз) - процессу, ориентированному на выявление угроз, определение атак, анализ сокращения и устранение угроз. Выявляя потенциальные угрозы на протяжении всего жизненного цикла разработки программного обеспечения, безопасность становится приоритетом, а не запоздалой мыслью, экономя время и деньги групп безопасности и разработчиков.
Статьи:
What Is Security Threat Modeling? by Lawrence C. Miller, Peter H. Gregory
Threat-modeling CheatSheet by OWASP
Threat Modeling in the Enterprise, Part
1: Understanding the Basics by Stiliyana Simeonova
Threat Modeling: What, Why, and How? By Adam Shostack
Threat Modeling blog by Security Innovation
Threat Modeling: 6 Mistakes You’re Probably Making by Jeff Petters
How to Create a Threat Model for Cloud Infrastructure Security by Pat Cable
Why You Should Care About Threat Modelling by Suresh Marisetty
Курсы:
Threat Modeling, or Architectural Risk Analysis by Coursera
Threat Modeling Workshop by Robert Hurlbut
#threatmodeling #article #dev #ops
Решил запустить серию постов с подборкой материала по каждому этапу DevSecOps. Начнем с Design/Plan, а именно подборки статей и курсов по Threat Modeling (моделирование угроз) - процессу, ориентированному на выявление угроз, определение атак, анализ сокращения и устранение угроз. Выявляя потенциальные угрозы на протяжении всего жизненного цикла разработки программного обеспечения, безопасность становится приоритетом, а не запоздалой мыслью, экономя время и деньги групп безопасности и разработчиков.
Статьи:
What Is Security Threat Modeling? by Lawrence C. Miller, Peter H. Gregory
Threat-modeling CheatSheet by OWASP
Threat Modeling in the Enterprise, Part
1: Understanding the Basics by Stiliyana Simeonova
Threat Modeling: What, Why, and How? By Adam Shostack
Threat Modeling blog by Security Innovation
Threat Modeling: 6 Mistakes You’re Probably Making by Jeff Petters
How to Create a Threat Model for Cloud Infrastructure Security by Pat Cable
Why You Should Care About Threat Modelling by Suresh Marisetty
Курсы:
Threat Modeling, or Architectural Risk Analysis by Coursera
Threat Modeling Workshop by Robert Hurlbut
#threatmodeling #article #dev #ops
dummies
What Is Security Threat Modeling? - dummies
Threat modeling is a type of risk analysis used to identify security defects in the design phase of an information system. Threat modeling is most often applied
Threat Modeling - Подборка инструментов
Продолжаем говорить о процессе моделирования угроз в DevOps на этапе Design/Plan. На этот раз это подборка инструментов.
Бесплатные:
OWASP Threat Dragon - онлайн-приложение для моделирования угроз, включающее возможность построения диаграмм и механизм правил для автоматической генерации угроз / мер по снижению риска.
Microsoft Threat Modeling Tool - средство, помогающее находить угрозы на этапе разработки программных проектов.
Owasp-threat-dragon-gitlab - Этот проект является вилкой оригинального веб-приложения OWASP Threat Dragon Майка Гудвина с интеграцией Gitlab вместо Github. Вы можете использовать его с Gitlab.com или вашим собственным экземпляром Gitlab.
raindance - проект, призванный сделать «карты атак» частью разработки программного обеспечения за счет сокращения времени, необходимого для их завершения.
threatspec - проект с открытым исходным кодом, который нацелен на устранение разрыва между разработкой и безопасностью путем внедрения моделирования угроз в процесс разработки.
Enterpise:
Irius risk - инструмент моделирования угроз с адаптивной анкетой, управляемой экспертной системой, которая направляет пользователя через простые вопросы о технической архитектуре, планируемых функциях и контексте безопасности приложения.
SD elements - автоматизируйте моделирование угроз с помощью элементов SD
Foreseeti - SecuriCAD Vanguard - это сервис SaaS для моделирования атак и автоматического моделирования угроз, который позволяет автоматически моделировать атаки на виртуальную модель среды AWS.
#threatmodeling #tools #dev #ops
Продолжаем говорить о процессе моделирования угроз в DevOps на этапе Design/Plan. На этот раз это подборка инструментов.
Бесплатные:
OWASP Threat Dragon - онлайн-приложение для моделирования угроз, включающее возможность построения диаграмм и механизм правил для автоматической генерации угроз / мер по снижению риска.
Microsoft Threat Modeling Tool - средство, помогающее находить угрозы на этапе разработки программных проектов.
Owasp-threat-dragon-gitlab - Этот проект является вилкой оригинального веб-приложения OWASP Threat Dragon Майка Гудвина с интеграцией Gitlab вместо Github. Вы можете использовать его с Gitlab.com или вашим собственным экземпляром Gitlab.
raindance - проект, призванный сделать «карты атак» частью разработки программного обеспечения за счет сокращения времени, необходимого для их завершения.
threatspec - проект с открытым исходным кодом, который нацелен на устранение разрыва между разработкой и безопасностью путем внедрения моделирования угроз в процесс разработки.
Enterpise:
Irius risk - инструмент моделирования угроз с адаптивной анкетой, управляемой экспертной системой, которая направляет пользователя через простые вопросы о технической архитектуре, планируемых функциях и контексте безопасности приложения.
SD elements - автоматизируйте моделирование угроз с помощью элементов SD
Foreseeti - SecuriCAD Vanguard - это сервис SaaS для моделирования атак и автоматического моделирования угроз, который позволяет автоматически моделировать атаки на виртуальную модель среды AWS.
#threatmodeling #tools #dev #ops
Docs
Microsoft Threat Modeling Tool overview - Azure
Overview of the Microsoft Threat Modeling Tool, containing information on getting started with the tool, including the Threat Modeling process.
threat_modeling_designing_for_security.epub
6.4 MB
"Threat Modeling: Designing for Security." by Adam Shostack
Адам Шостак отвечает за моделирование угроз SDLC в Microsoft и является одним из немногих экспертов по моделированию угроз в мире. Он подробно описывает, как с самого начала встроить безопасность в проектирование систем и ПО, объясняет различные подходы к моделированию угроз, предоставляет методы, которые были проверены в Microsoft и предлагает практические советы, не связанные с каким-либо конкретным программным обеспечением, операционной системой или языком программирования.
#literature #threatmodeling #dev #ops
Адам Шостак отвечает за моделирование угроз SDLC в Microsoft и является одним из немногих экспертов по моделированию угроз в мире. Он подробно описывает, как с самого начала встроить безопасность в проектирование систем и ПО, объясняет различные подходы к моделированию угроз, предоставляет методы, которые были проверены в Microsoft и предлагает практические советы, не связанные с каким-либо конкретным программным обеспечением, операционной системой или языком программирования.
#literature #threatmodeling #dev #ops