طبقه بندی محتوا : تخصصی
مخاطب: متخصصین حوزه امنیت سایبری
علی رغم همپوشانی زیادی که بین ارزیابی تهدید و مدل سازی تهدید از نظر هدف نهایی آنها وجود دارد، تفاوت زیر از لحاظ دامنه کار بین این دو وجود دارد. همانطور که NIST به آن اشاره می کند، ارزیابی تهدید یک فعالیت جمع آوری اطلاعات است، نه یک فعالیت امنیتی یا تولید حریم خصوصی. مطابق مستندات OWASP، مدل سازی تهدید ، برای شناسایی، ارتباط و درک تهدیدها و کاهش آنها در زمینه حفاظت از چیزی با ارزش کار می کند. وجه تمایز اصلی که در اینجا به آن اشاره می شود "کاهش تهدیدات" است.
✅ ارزیابی تهدید(Threat Assessment):
از برخی جهات، ارزیابی تهدید جامع تر از مدل سازی تهدید است. در جایی که مدل سازی تهدید بر ریسک های سیستم متمرکز است، ارزیابی تهدید می تواند دامنه وسیع تری را شامل شود. با توجه به مدل بلوغ تضمین نرم افزار، عملکرد ارزیابی تهدید بر شناسایی و درک ریسک های سطح پروژه بر اساس عملکرد نرم افزار در حال توسعه و ویژگی های محیط و زمان اجرا تمرکز می کند.
یک سازمان، برای اولویت بندی اقداماتی که منجر به امنیت موثرتر در سازمان یا پروژه می شود، از جزئیات مربوط به تهدیدات و حملات علیه هر پروژه استفاده می کند. در اینجا می توانیم ببینیم که که ارزیابی تهدید ، فراتر از سیستم و برای ارزیابی کل پروژه مورد استفاده قرار می گیرد.
NIST در تشریح ارزیابی تهدید، با دقت به جزئیات می پردازد و در نهایت لیستی از کاربردهای اطلاعات حاصل از ارزیابی تهدید را ارائه می دهد که شامل موارد زیر است:
1.شناسایی مشکلات کمبودهای بالقوه در اجرای چارچوب مدیریت ریسک سازمان.
2.تسهیل در تصمیمات مربوط به مجوز دهی امنیتی، حریم خصوصی و امور جاری.
3.اطلاع رسانی تصمیات بودجه ای و فرآیند سرمایه گذاری.
در مجموع ، این تصمیمات مدیریتی و مالی هستند نه تصمیمات سیستمی، در حوزه ارزیابی تهدید قرار دارند و و به وضوح خارج از حوزه مدل سازی تهدید هستند.
✅ مدل سازی تهدید(Threat Modeling):
همانطور که قبلا گفته شد، مدل سازی تهدید بیشتر یک تکنیک برای شناسایی و کاهش تهدیدات در یک سیستم یا برنامه است و خیلی فراتر از آن نیست.
نکته ای از OWAPS: "مدل سازی تهدید خانواده ای از فعالیت ها، برای بهبود امنیت از طریق سناسایی تهدیدها و سپس تعریف اقدامات متقابل برای جلوگیری یا کاهش اثرات تهدیدات بر سیستم است."
تهدید یک رویداد بالقوه یا بالفعل نامطلوب است که ممکن است مخرب(مانند حمله DOS) و یا اتفاقی (نقص در یک دستگاه ذخیره سازی) باشد. مدل سازی تهدید یک فعالیت برنامه ریزی شده برای شناسایی و ارزیابی تهدیدات و آسیب پذیری های برنامه است. حوزه دیگری که مدل سازی تهدید را با ارزیابی تهدید متفاوت می کند، فراوانی کاربرد آن است . به دلایل علمی، یک طرح ارزیابی تهدید ایجاد و سپس به طور دوره ای ، شاید هر 3 یا 6 ماه یکبار به روز می شود. در صورتی که ، مدل سازی تهدید به طور مداوم در طول یک پروژه توسعه نرم افزار به کار می رود. به عبارت دیگر ارزیابی تهدید یک پروژه است، در حالی که مدل سازی تهدید بیشتر یک فرآیند است.
✅ خلاصه:
پس چه باید کرد: ارزیابی تهدید یا مدل سازی تهدید؟
پاسخ واضح و مشخص است. هر دو. این دو جایگزین یکدیگر نمی شوند و مکمل یکدیگر هستند.
اگر مطمئن نیستید که ارزیابی تهدید را باید از کجا شروع کنید، کافی است نگاهی به NIST 800-53A بیاندازید. این مستند نگاهی دقیق به ارزیابی کنترل های امنیتی و خصوصی دارد.
اگر مطمئن نیستید که مدل سازی تهدید را باید از کجا شروع کنید(به ویژه مدل سازی تهدید خودکار)، کافی است نگاهی به سایت ThreatModeler.com بیاندازید.
