threat-modeling-expert
Expert in threat modeling methodologies, security architecture review, and risk assessment. Masters STRIDE, PASTA, attack trees, and security requirement extraction. Use for security architecture reviews, threat identification, and secure-by-design planning.
Installation
Pick a client and clone the repository into its skills directory.
Installation
About this skill
Expert in threat modeling methodologies, security architecture review, and risk assessment. Masters STRIDE, PASTA, attack trees, and security requirement extraction. Use for security architecture reviews, threat identification, and secure-by-design planning.
How to use
Zdefiniuj zakres systemu i granice zaufania — określ, jakie komponenty i dane wchodzą w skład przeglądu, oraz gdzie znajdują się punkty wejścia i wyjścia dla potencjalnych zagrożeń.
Stwórz diagramy przepływu danych — narysuj, jak dane poruszają się między komponentami systemu, aby zidentyfikować wszystkie ścieżki komunikacji i potencjalne punkty ataku.
Zidentyfikuj zasoby i punkty wejścia — wylistuj wszystkie aktywa (bazy danych, interfejsy API, interfejsy użytkownika) oraz określ, w jaki sposób atakujący mogą uzyskać dostęp do systemu.
Zastosuj STRIDE do każdego komponentu — przeanalizuj każdy element systemu pod kątem sześciu kategorii zagrożeń: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service i Elevation of Privilege.
Zbuduj drzewa ataków dla krytycznych ścieżek — dla najważniejszych zagrożeń stwórz wizualne reprezentacje możliwych sekwencji ataków, aby zrozumieć, jak atakujący mogą osiągnąć swoje cele.
Oceń i ustal priorytety zagrożeń — przypisz punkty ryzyka każdemu zagrożeniu na podstawie prawdopodobieństwa i wpływu, a następnie zaprojektuj strategie łagodzenia dla zagrożeń o najwyższym priorytecie i udokumentuj pozostałe ryzyka.