Bezpieczeństwomedium

Czym jest threat modeling i jak zrobić lekki threat model dla funkcji?

Tagi

#threat-modeling#risk#security

Odpowiedź

Threat modeling to ustrukturyzowany sposób identyfikacji zasobów, zagrożeń i mitigacji przez mapowanie aktorów, punktów wejścia i granic zaufania. Lekki model robi szybki diagram przepływu danych, wypisuje zagrożenia (np. STRIDE) i priorytetyzuje mitigacje wg ryzyka.

Odpowiedź zaawansowana

Głębiej

Lekki threat model powinien być szybki, ale realnie wykrywać ryzyka:

Zdefiniuj zasoby: dane, pieniądze, poświadczenia, dostępność, reputacja.
Wskaż aktorów i punkty wejścia (UI, API, webhooki, integracje).
Narysuj przepływy danych i granice zaufania (browser -> API -> DB, callbacki z zewnątrz).
Wypisz zagrożenia (STRIDE) i oceń wpływ x prawdopodobieństwo.
Dobierz mitigacje, przypisz właścicieli i wracaj do tego cyklicznie.

Przykłady

Krótki przykład (webhook płatności):

Browser -> API -> DB
               ^
             Webhook (3rd-party)

Zagrożenia: podszycie, replay, modyfikacja danych
Mitigacje: podpis HMAC, idempotency key, allowlista IP

Typowe pułapki

Traktowanie tego jak jednorazowego dokumentu.
Pomijanie granic zaufania i integracji zewnętrznych.
Brak priorytetyzacji zagrożeń.

Pytania uzupełniające na rozmowie

Jak priorytetyzować mitigacje przy krótkim terminie?
Co się zmienia, gdy funkcja staje się publiczna?

Powiązane pytania

Bezpieczeństwo

Jak bezpiecznie przechowywać hasła?

#passwords#hashing#security

Bezpieczeństwo

Uwierzytelnianie vs autoryzacja — jaka jest różnica, z przykładami?

#authn#authz#security

DevOps

Jakie są dobre praktyki dla bezpiecznych i małych obrazów Dockera?

#docker#containers