← İçindekiler Tehdit Modelleme Pratiği
Teoriyi öğrendin: STRIDE, PASTA, SDL. Peki bunu yarın nasıl uygulayacaksın? Tehdit modelleme yapmak için pahalı araçlar veya aylar sürecek projeler gerekmez. Beş kişi, iki saat, bir oda ve kağıt kalem. Bu kadar.
Özlü kural: Hiç yapmamaktansa kağıt-kalemle sade bir başlangıç bile muhteşemdir. Önemli olan başlamak.
46.1 Ücretsiz Araçlar
Tehdit modellemek için özel yazılım şart değildir. Ama dijital araçlar kalıcı sonuç için faydalıdır.
- Microsoft Threat Modeling Tool - Otomatik STRIDE analizi, yalnızca Windows
- IriusRisk Community Edition - Otomatik, kolay, web tabanlı
- Draw.io / Lucidchart - Hızlı veri akış diyagramı çizimi
- OWASP Threat Dragon - Görsel, ekipçe işbirliği, STRIDE ve PASTA uygun
- Cairis - Akademik düzeyde risk analizi, %100 PASTA uyumu
- PyTM - Threat-Model-as-Code, CI/CD pipeline entegrasyonu
Öneri: Başlangıç için IriusRisk (otomatik, kolay). Profesyonel kullanım için OWASP Threat Dragon (esnek, ekip işbirliği destekli).
46.2 2 Saatlik Pratik Oturum
Beş kişilik bir ekiple iki saatte somut, ölçülebilir bir tehdit modeli üretebilirsin.
Kimler olmalı?
- Moderatör: Güvenlik uzmanı, oturumu yönetir
- Sistem mimarı: Sistem iskeletini çizer
- Yazılım mimarı: Kodun derinliklerini bilir
- İş analisti: Parayı ve müşteriyi düşünür
- Test uzmanı: Sorun çıkarabilecek yerleri arar
Zaman çizelgesi:
| Dakika | Aktivite | Ne yapılır? |
|---|---|---|
| 0-15 | Hedef belirleme | ”Bizi en çok ne korkutuyor?” Örn: kimlik hırsızlığı |
| 15-45 | Sistem diyagramı | Sistem mimarı akışı çizer. Hassas veriler nerede? |
| 45-75 | STRIDE analizi | Altı kategoriye göre tehditler sıralanır |
| 75-105 | Risk sıralama | PASTA ile önceliklendirme. En kritik tehditler seçilir |
| 105-120 | Çözüm üretimi | Her kritik tehdit için çözüm, sorumlu ve tarih atanır |
Oturum sonunda her çözüm için bir sorumlu ve tamamlanma tarihi atamak şarttır. Takip olmayan eylem, eylem değildir. Ölçemiyorsan yoktur.
46.3 Başarı Kuralları
Dört kural, oturumun başarısını belirler:
- Eleştiri yok, fikir var: Beyin fırtını eleştiri meydanı değildir. Aptalca görünen sorular, ciddi sorunları ortaya çıkarabilir. Hiç kimse öyle düşünmemiş olabilir.
- Teknik değil, insan dili: “SQL injection” yerine “kötü niyetli kodla veritabanı çalınabilir” de. Herkes anlasın.
- Stressiz ortam: Her aşamayı 5 dakika erken bitir. Kalan vakitte çay iç. Beyin fırtını stresle olmaz.
- Araçları aktif kullan: Threat Dragon’da canlı işbirliği yap. Herkes aynı ekranda yazsın.
- 5 kişilik ekiple 2 saatlik oturumlarla başla
- Rolleri net dağıt: moderatör, mimar, geliştirici, iş analisti, testçi
- Oturum sonunda her çözüme sorumlu ve tarih ata
- Eleştiri yok kuralını uygula; tüm fikirleri yaz
- Tehdit modellemeyi tek başına yapma
- Oturumda eleştiri kültürü yaratma, fikirleri engelleme
- Çözümlere sorumlu atamadan oturumu bitir
- Teknik jargonla iş analistini ve karar vericileri dışarıda bırak