John om hotmodellering

Inte en jätteintressant presentation men några mindre poänger.

Traditionell hotmodellering har problem:

• Det är tidskrävande
• Applikationsmodeller saknas så de måste skapas på plats (nödvändiga i hotmodelleringen)
• Det är svårt att hitta rätt abstraktionsnivå så att säkerhetsfolk, driftfolk, arkitekter och utvecklare kan kommunicera hot och motmedel

Så hur hittar vi rätt abstraktion på modellen? Jo, använd den abstrakta dataflödesmodellen (från Microsofts hotmodellering) till hotmodelleringen och sen en mer detaljerad modell till motmedlen. Mer detaljerad? Hur detaljerad?

• Klassnivå = för smått
• Applikations- eller servernivå = för stort
• Statiska moduler = lagom (med statiska menas kontrollmoduler eller grupper av moduler med visst ansvar)

Utifrån hotmodelleringen (eller från din lathund) får du fram vilka motmedel som bör sättas in. Rita in redan existerande motmedel på de moduler där de finns. Kvar får du en lista med säkerhetsfunktioner som inte finns i din design. Den listan driver sen förändringsprocessen. För att det ska fungera bör motmedlen utgöra designmönster.

En fördel är att det blir tydligt vilken modul som har ansvar för en viss säkerhetsfunktion.

Nackdelarna är att man måste förstå applikationen på den nivån och att det hela givetvis tar mer tid.