IT/Secure Coding

별첨 3) 위협모델링 방법

바바옄 2015. 4. 22. 10:54
반응형

Microsoft SDL 설계 단계

위협모델링 방법

Step 1

  • 위협 모델링을 수행하기 위해 보안팀 구성.
  • 보안팀의 리더는 해킹 / 침해사고 분석 및 대응 전문가가 적합

Step 2

  • 애플리케이션 분해 작업 수행.
  • 위협 모델링을 수행해야 하는 애플리케이션에 대해 
  • 기능과 데이터 흐름을 기준으로 애플리케이션을 분해함.

Step 3

  • 위협 추출

-> STRIDE 위협 유형 기준으로 분류

               

Step 4

  • 도출된 위협에 대한 위험도 계산

-> DREAD 위험도 분류 이용, 가장 위협적인 요소들이 먼저 제거될 수 있도록 한다.

                


Step 5

  • 대응 기법 선택

-> 위협모델링을 통해 해당 위협이 발생했을 때 대응 방법에 대한 정의도 함께 요구됨. 

          일반적으로 침해 사고가 발생한 경우 대응 방법은 아래의 대응기법 중 하나가 될 수 있다.

    

Step 6

  • 대응 기술 선택

   -> 도출된 각 위협들을 제거하기 위해 요구되는 기술들을 도출

  

 


 

 

 

반응형

'IT > Secure Coding' 카테고리의 다른 글

CWE (Common Weakness Enumeration)  (0) 2015.04.22
소프트웨어 보안 개발 가이드  (0) 2015.04.22
Microsoft SDL(제일 중요)  (0) 2015.04.22
OWASP CLASP  (0) 2015.04.22
보안 개발 방법론  (0) 2015.04.22