Real-World Threat Modeling

Shift-Left journey

SAST, DAST, basicamente es mover las pruebas de seguridad desde luego de la APP en producción hasta el código. Pero sigue siendo insuficiente.

Threat Modeling

identificar, cuantificar las posibles fallas de seguridad. Identificar problemas y diseñar las soluciones en el modemnto de diseño de la solucón original.

–> weakness: defecto –> vulnerability: debilidad –> attack: explotación de una vulnerabilidad. (target, attack vector, threat actor) –> attack surface: la superficie o componentes que pueden ser atacados.

Methodologies

-> PASTA -> STRIDE -> OCTAVE -> TRIKE -> VAST

STRIDE

Componentes: -> Spoofing: -> TAmpering -> Repudiation -> Information Disclosure -> Elevation of priviledge

STRIDE Workflow

Addressing Threat

1. Mitigration of threat
2. Eliminate the threat
3. Transfering threat
4. Accepting the Risk

DEMO

Threat Dragon v2.2.0

Smart Home threat modeling (github)