Tehdit Modelleme Pratiği← İçindekiler

Tehdit Modelleme Pratiği

B

Teoriyi öğrendin: STRIDE, PASTA, SDL. Peki bunu yarın nasıl uygulayacaksın? Tehdit modelleme yapmak için pahalı araçlar veya aylar sürecek projeler gerekmez. Beş kişi, iki saat, bir oda ve kağıt kalem. Bu kadar.

Özlü kural: Hiç yapmamaktansa kağıt-kalemle sade bir başlangıç bile muhteşemdir. Önemli olan başlamak.

46.1 Ücretsiz Araçlar

Tehdit modellemek için özel yazılım şart değildir. Ama dijital araçlar kalıcı sonuç için faydalıdır.

Başlangıç Seviyesi
  • Microsoft Threat Modeling Tool - Otomatik STRIDE analizi, yalnızca Windows
  • IriusRisk Community Edition - Otomatik, kolay, web tabanlı
  • Draw.io / Lucidchart - Hızlı veri akış diyagramı çizimi
Profesyonel Seviye
  • OWASP Threat Dragon - Görsel, ekipçe işbirliği, STRIDE ve PASTA uygun
  • Cairis - Akademik düzeyde risk analizi, %100 PASTA uyumu
  • PyTM - Threat-Model-as-Code, CI/CD pipeline entegrasyonu

Öneri: Başlangıç için IriusRisk (otomatik, kolay). Profesyonel kullanım için OWASP Threat Dragon (esnek, ekip işbirliği destekli).

46.2 2 Saatlik Pratik Oturum

Beş kişilik bir ekiple iki saatte somut, ölçülebilir bir tehdit modeli üretebilirsin.

Kimler olmalı?

  • Moderatör: Güvenlik uzmanı, oturumu yönetir
  • Sistem mimarı: Sistem iskeletini çizer
  • Yazılım mimarı: Kodun derinliklerini bilir
  • İş analisti: Parayı ve müşteriyi düşünür
  • Test uzmanı: Sorun çıkarabilecek yerleri arar

Zaman çizelgesi:

DakikaAktiviteNe yapılır?
0-15Hedef belirleme”Bizi en çok ne korkutuyor?” Örn: kimlik hırsızlığı
15-45Sistem diyagramıSistem mimarı akışı çizer. Hassas veriler nerede?
45-75STRIDE analiziAltı kategoriye göre tehditler sıralanır
75-105Risk sıralamaPASTA ile önceliklendirme. En kritik tehditler seçilir
105-120Çözüm üretimiHer kritik tehdit için çözüm, sorumlu ve tarih atanır

46.3 Başarı Kuralları

Dört kural, oturumun başarısını belirler:

  • Eleştiri yok, fikir var: Beyin fırtını eleştiri meydanı değildir. Aptalca görünen sorular, ciddi sorunları ortaya çıkarabilir. Hiç kimse öyle düşünmemiş olabilir.
  • Teknik değil, insan dili: “SQL injection” yerine “kötü niyetli kodla veritabanı çalınabilir” de. Herkes anlasın.
  • Stressiz ortam: Her aşamayı 5 dakika erken bitir. Kalan vakitte çay iç. Beyin fırtını stresle olmaz.
  • Araçları aktif kullan: Threat Dragon’da canlı işbirliği yap. Herkes aynı ekranda yazsın.
Bunu Yap
  • 5 kişilik ekiple 2 saatlik oturumlarla başla
  • Rolleri net dağıt: moderatör, mimar, geliştirici, iş analisti, testçi
  • Oturum sonunda her çözüme sorumlu ve tarih ata
  • Eleştiri yok kuralını uygula; tüm fikirleri yaz
Bunu Yapma
  • Tehdit modellemeyi tek başına yapma
  • Oturumda eleştiri kültürü yaratma, fikirleri engelleme
  • Çözümlere sorumlu atamadan oturumu bitir
  • Teknik jargonla iş analistini ve karar vericileri dışarıda bırak

İlgili Bölümler