Sammendrag av presentasjonen min på Software 2012 - Erfaringer med trusselmodellering.
Trusslemodellering er en plattform for kommunikasjon. Kunden lurer på hvordan problemer er løst, og leverandøren har behov for å forklare det samme, og i tillegg belyse antagelser og konsekvenser av endringer. En slik plattform er nyttig gjennom hele livssyklusen, og kanskje særlig som dokumentasjon av tidligere avgjørelser.
En veldig viktig egenskap ved en trusselmodell, er konsistens mellom opptegning av systemet, og analysen av det. Derfor er det nyttig å bruke et verktøy som besørger denne konsistensen, og synliggjør eventuelle avvik. Truslene kan modelleres med "STRIDE"-prinsippene: spoofing, tampering, repudiation, information disclosure, denial of service og elevation of privilege. Hvert av disse appliseres til de forskjellige delene av systemet, som er modellert med komponenter som dataflyt, prosesser, aktører og datalager.
Gjennom analysen kommer man frem til diverse tiltak som er gjort tidligere. Av og til finner man også mangler. Modellen beskriver hvor inndata kommer fra eksterne aktører. Generelt fins det flere aspekter som kan tas ut som forskjellige rapporter som passer ulike roller, feks arkitekt, funksjonelt ansvarlig, kundens sikkerhetsansvarlig, prosjektleder etc.
Ved å bruke en dedikert applikasjon til trusselmodellering er det også enklere å oppdatere og endre modellen. Mangler og endringer blir svært synlige i analyse-bildet, og lar seg enkelt oppdatere. Dermed er det også enkelt å "holde liv" i modellen.
Dessuten er denne prosessen en veldig nyttig kunnskapsdeling mellom kunde og leverandør. Kunden (eller driftsleverandøren) synliggjør situasjonen i produksjonsmiljøet. Leverandøren viser hvordan løsningen opprinnelig var planlagt. Prosessen fører til en dyptgående modell av den eksisterende situasjonen i produksjon.
Disse erfaringene er basert på bruk av Microsoft SDL Threat Modelling Tool.
