TechED Breaking News #1 : Threat Modeling UPDATES

  • Article

Ieri pomeriggio, finite le fatiche dell' ATE ho fatto 4 chiacchiere con Michael Howard. Le prime 2 erano per aggiornarlo su alcuni progetti che stiamo portando avanti in Italia ma le altre 2 sono state molto più ... divertenti ... :-)

Infatti ... insieme a Raffaele lo abbiamo letteralmente "martellato" sul discorso Threat Modeling e approccio all'analisi. Infatti rispetto alle prime versioni del Threat Modeling l'approccio all'analisi dei rischi è cambiata in modo radicale (e lo si nota soprattutto nel tool TAM) ... si è passata da una visione Attack-Oriented ad una visione diametralmente opposta di tipo Defense-Oriented. Quindi non più una analisi dal punto di vista di chi attacca una applicazione ma dal punto di vista di chi la difende...Un cambio non da poco, che spesso disorienta le persone che magari da tempo si sono avvicinati alla nobile arte del Threat Modeling !!!  Il problema dove nasce... dal fatto che le persone si possono confondere facilmente se da una versione del tool di riferimento all'altra cambia radicalmente la logica con cui si analizzano le minacce nel sofware.. Non è una cosa da poco...tanto più che la maggior parte delle nuove informazioni (post, presentazioni, ecc...) parlano ancora del modello precedente. A bit confusing no??
Comunque... alla fine Michael ha confermato che la strada è sicureamente quella del Defense-Oriented perchè più semplice e comprensibile anche per i non esperti di sicurezza.

Invece per chi ha già esperienza di Threat Modeling e ha una certa padronanza della sicurezza applicativa (e quindi analizza le minacce dal punto di vista di chi attacca) c'è una importante novità per quanto riguarda il modello D.R.E.A.D (Damage, Reproducibility, Exploitability, Affected Users, Discoverability) !!! Il calcolo della minaccia con D.R.E.A.D viene o meglio veniva calcolata dando un valore da 1 a 10 ad ogni voce che compone D.R.E.A.D e calcolandone la media... alla fine esce semplre un numero tra 0 e 10 dove più alto è il numero più grave è la minaccia. Il modello D.R.E.A.D viene rimpiazzato con una classificazione derivata dal ranking dei bollettini di sicurezza MSRC: Critical, Important, Moderate e Low per garantire una minore discrezionalità. Infatti con D.R.E.A.D era troppo facile spostare (certe volte con troppa leggerezza) il valore per declassare automaticamente il threat. Con il nuovo modello è necessario definire una macro classificazione per facilitare la suddivisione. Ad esempio:

image

Inoltre il metodo ha sicuramente un altro grandissimo vantaggio su D.R.E.A.D : ha una scala di valori che trasmette in modo non ambiguo la criticità del threat!!
Infatti è sicuramente di più facile comprensione avere un threat calcolato Critical rispetto ad uno calcolato ad esempio 8 o 9 o 10 a seconda della classificazione dei singoli elementi di D.R.E.A.D.

--Mario