I threat modeling è una componente fondamentale del processo SDL e Michael Howard presenta in questa sessione una introduzione alla stesura di un threat modeling.
Il primo avvertimento è per gli architect e non ci sono parole che possono dirlo meglio di questa slide:
Un punto fondamentale è quello di definire come verrà usata l'applicazione: c'è infatti una grossa differenza se l'utente è un tecnico che può capire come una minaccia viene mitigata oppure se è un utente casalingo. Bello l'esempio dell'amminstratore di sistema che naviga su Internet dal Domain Controller che è in grado di capire l'avvertimento di sicurezza ("contromisura") di IE sul server.
Poi passa a presentare i diagrammi DFD che descrivono come i dati fluiscono nei processi dell'applicazione. I DFD possono essere di livelli diversi, man mano che il livello cresce, il dettaglio dei singoli processi logici è descritto in maggiore dettaglio. BTW questi diagrammi sono presenti fin dai vecchi testi e fanno parte della prima versione del tool di Threat Modeling.
Ogni elemento del diagramma DFD è un 'asset' (target che l'hacker vuole conquistare) che è soggetto a diversi tipi di attacchi secondo la logica di STRIDE (Spoofing, Tampering, Repudiation, Information Discliosure, Denial of Services Elevation).
Nell'analisi della minaccia viene mostrato l'albero delle minacce a cui sono soggetti tutti gli elementi del DFD. Molto esplicativi e lampanti gli esempi presentati da Michael.
Si passa poi alla valutazione del rischio. Un buon aiuto per classificare il rischio è quello eseguire una classificazione attrribuendogli un livello. Per contrastare le minacce si arriva ai sistemi di mitigazione che permettono di ridurre il rischio.
Nessuna paura: il nuovo Threat Modeling and Analysis tool, che ho presentato più volte nelle mie sessioni, ha un approccio più semplice, è più recente, ed è assolutamente usabile in modo alternativo a questo metodo. Per scrupolo l'ho schiesto direttamente a Michael che mi ha dato piena rassicurazione su questo.
Poi Michael mostra un threat modeling reale di "Castle" che fu eliminato da Windows dopo la stesura del threat modeling in quanto impossibile da rendere sufficientemente sicuro.
La sessione si conclude in modo decisamente inconsueto con la distribuzione di un esercizio di threat modeling da realizzare in qualche minuto. Decisamente molto istruttivo e impressionante la capacità comunicativa di Michael Howard. Splendida sessione.