Threat Modelling
Una delle tecniche utilizzate dagli sviluppatori per progettare e implementare sistemi più sicuri prevede la modellazione delle minacce (Threat Modelling).
Uno sviluppatore o un gruppo di sviluppatori si incontrano per immaginare tutte le minacce a cui un sistema può essere soggetto e le conseguenze se le minacce divenissero realtà.
La triade di sicurezza fornisce un modello sistematico per pensare alle minacce.
Il semplice prendere tempo per immaginare le possibili minacce è un grande passo avanti rispetto ai vecchi tempi in cui la sicurezza era considerata una componente accessoria.
Gli sviluppatori hanno portato la modellazione delle minacce al di là di un esercizio “what if” leggermente strutturato.
I dettagli delle tecniche di Threat Modelling variano, ma identificano tutti i dati elaborati dal sistema, gli utenti del sistema, chi potrebbero essere gli attaccanti del sistema e cosa potrebbe succedere dopo.
Inoltre identificano il modo in cui i dati si spostano attraverso il sistema e dove vengono archiviati.
Il passo successivo a queste operazioni, è individuare i punti in cui il sistema è vulnerabile. Questo è più facile di quanto possa apparire perché quasi tutte le vulnerabilità si verificano quando i dati si spostano da un modulo a un altro.
Uno degli strumenti chiave nell’analisi delle minacce è il diagramma del flusso di dati che delinea il flusso di dati da un modulo a un altro, o da un sistema all’altro.
Con i dati sulle minacce e i punti di vulnerabilità elencati, i responsabili della sicurezza valutano ogni minaccia, valutando in base alla quantità e alla gravità del danno che potrebbe causare.
I risultati di questa valutazione vengono inseriti nei piani di progetto e vengono assegnati agli sviluppatori che, attraverso le tecniche di sviluppo di codice sicuro, tenteranno di mitigare le minacce.
Il Threat Modelling è generalmente un processo iterativo.
La modellazione viene ripetuta durante lo sviluppo, incorporando continuamente nuove minacce non appena vengono rilevate e testando la mitigazione delle vecchie.
Questo processo sostituisce il vecchio piano, nel quale allo sviluppatore veniva assegnata la codifica e la correzione di un difetto di sicurezza solo nel momento in cui questo veniva riscontrato.
In precedenza le vulnerabilità e le minacce non venivano cercate sistematicamente e non si sviluppavano piani per la loro eliminazione se non nel momento dei test, o peggio del rilascio.
