별첨 3) 위협모델링 방법

Microsoft SDL 설계 단계

위협모델링 방법

Step 1

• 위협 모델링을 수행하기 위해 보안팀 구성.
• 보안팀의 리더는 해킹 / 침해사고 분석 및 대응 전문가가 적합

Step 2

• 애플리케이션 분해 작업 수행.
• 위협 모델링을 수행해야 하는 애플리케이션에 대해 
• 기능과 데이터 흐름을 기준으로 애플리케이션을 분해함.

Step 3

• 위협 추출

-> STRIDE 위협 유형 기준으로 분류

               

Step 4

• 도출된 위협에 대한 위험도 계산

-> DREAD 위험도 분류 이용, 가장 위협적인 요소들이 먼저 제거될 수 있도록 한다.

                

Step 5

• 대응 기법 선택

-> 위협모델링을 통해 해당 위협이 발생했을 때 대응 방법에 대한 정의도 함께 요구됨. 

          일반적으로 침해 사고가 발생한 경우 대응 방법은 아래의 대응기법 중 하나가 될 수 있다.

    

Step 6

• 대응 기술 선택

   -> 도출된 각 위협들을 제거하기 위해 요구되는 기술들을 도출