类似推荐
编辑推荐
本书将帮助你更好地理解如何将威胁建模应用到实践中,以保护你的系统免受网络攻击威胁。
内容简介
本书的主要重点是如何使用威胁建模来分析系统设计,以便你可以识别系统实施和部署中固有的风险,并规避这种风险。
本书不提供用于安全设计或特定拓扑、系统、算法分析的方法,而是提供识别风险情况所需的工具、解决这些风险情况的具体方法选项,并为你提供更多信息来源,以帮助你扩展威胁建模技能。
章节目录
版权信息
O'Reilly Media, Inc.介绍
业界评论
序
前言
第0章 引言
0.1 威胁建模
0.1.1 什么是威胁建模
0.1.2 为什么需要威胁建模
0.1.3 障碍
0.1.4 系统开发生命周期中的威胁建模
0.2 基本安全性原则
0.2.1 基本概念和术语
0.2.2 计算严重性或风险
0.2.3 核心属性
0.2.4 基本控制
0.2.5 安全系统的基本设计模式
0.3 小结
第1章 系统建模
1.1 为什么要创建系统模型
1.2 系统模型类型
1.2.1 数据流图
1.2.2 序列图
1.2.3 过程流图
1.2.4 攻击树
1.2.5 鱼骨图
1.3 如何构建系统模型
1.4 好的系统模型是什么样子的
1.5 小结
第2章 威胁建模的通用方法
2.1 基本步骤
2.2 你在系统模型中寻找的是什么
2.2.1 通常的嫌疑犯
2.2.2 你不应该期待的发现
2.3 威胁情报收集
2.4 小结
第3章 威胁建模方法论
3.1 在我们深入之前
3.2 三种主要方法
3.3 方法论
3.3.1 STRIDE方法
3.3.2 STRIDE-per-Element方法
3.3.3 STRIDE-per-Interaction方法
3.3.4 PASTA方法
3.3.5 TARA方法
3.3.6 Trike方法
3.4 专业的方法论
3.4.1 LINDDUN方法
3.4.2 SPARTA方法
3.4.3 INCLUDES-NO-DIRT方法
3.5 我们可以玩游戏吗
3.5.1 游戏:权限提升卡牌
3.5.2 游戏:权限提升和隐私性卡牌
3.5.3 游戏:OWASP聚宝盆卡牌
3.5.4 游戏:安全和隐私威胁发现卡牌
3.5.5 游戏:LINDDUN GO卡牌
3.6 小结
第4章 自动化威胁建模
4.1 为什么要自动化威胁建模
4.2 基于代码的威胁建模
4.3 使用代码进行威胁建模
4.3.1 工作原理
4.3.2 pytm工具
4.3.3 Threagile工具
4.4 其他威胁建模工具概述
4.4.1 IriusRisk工具
4.4.2 SD Elements工具
4.4.3 ThreatModeler工具
4.4.4 OWASP Threat Dragon工具
4.4.5 Microsoft威胁建模工具
4.4.6 CAIRIS工具
4.4.7 Mozilla SeaSponge工具
4.4.8 Tutamen威胁模型自动化工具
4.5 基于ML和AI的威胁建模
4.6 小结
第5章 持续威胁建模
5.1 为什么要进行持续威胁建模
5.2 持续威胁建模方法
5.3 演进:不断进步
5.4 Autodesk持续威胁建模方法
5.4.1 基线
5.4.2 基线分析
5.4.3 做到什么程度
5.4.4 威胁模型的所有故事
5.4.5 实地调查结果
5.5 小结
第6章 领导组织的威胁建模
6.1 如何通过威胁建模获得领导地位
6.2 如何克服产品团队中其他成员的阻力
6.3 如何克服威胁建模中的失败感
6.4 如何从许多类似的方法中选择威胁建模方法
6.5 如何传递“坏消息”
6.6 采取什么行动才能获得公认的发现
6.7 错过了什么
6.8 小结
6.9 进一步阅读
附录 实例
关于作者
关于封面
威胁建模:安全设计中的风险识别和规避是2022年由机械工业出版社出版,作者[美] 伊扎尔·塔兰达赫。
得书感谢您对《威胁建模:安全设计中的风险识别和规避》关注和支持,如本书内容有不良信息或侵权等情形的,请联系本网站。
