Birkaç adım atmanız ve müşterinize danışarak bir tehdit modeli geliştirmeniz gerekir . (Evet, bu 600 sayfalık bir kitabın bağlantısıdır; evet, her şeyi okumanızı şiddetle tavsiye ediyorum.)
Bir tehdit modeli gibi sorular sorarak başlar
- Uygulamanın neden bu hassas verileri ilk önce kaydetmesi gerekiyor?
- Saklamaktan kaçınabilir misin?
- Kısa bir süre sonra atılabilir mi?
- Gerçekten birden fazla cihaz için erişilebilir olması gerekli mi?
- Birden fazla cihazda erişilebilir olması gerekiyorsa , birden fazla cihazda depolanması mı gerekiyor ?
- Her kullanıcının hassas verilerini görmesine izin verilen kişiler kimlerdir?
- Bu liste daha kısa yapılabilir mi?
- İşlerini yapmaya çalışırken her kullanıcının hassas verileriyle iletişim kurabilen, ancak bunu bilmesine gerek olmayan insanlar kimlerdir?
- Can bu liste daha kısa yapılabilir?
- Verileri, işlerini yapma yeteneklerine zarar vermeden erişilemez hale getirebilir mi?
- Erişilemez ise, en azından anlaşılmaz hale getirilebilir mi? (Özet, şifrelemenin yaptığı şeydir: verileri anlaşılmaz kılar.)
- Hassas verileri görmek isteyen ancak izin verilmeyen insanlar kimlerdir ?
- Verilere ulaşmak için hangi fırsatları kullanmak zorundalar?
- Verilere sahip olduktan sonra ne yapmak isterler?
- İstediklerini alamazlarsa ne kadar kızacaklar?
- Ne kadar para, zaman, CPU döngüsü ve insani çaba harcamak istiyorlar?
- Herkes umurlarında mı bilir onlar verileri gördük?
- Belirli kullanıcıların hassas verilerine erişmek istiyorlar mı , yoksa herkes yapacak mı?
- Ne biliyorlar ki?
- Zaten erişebilecekleri neler var?
Bu soruların cevaplarını öğrendikten sonra ne yapmanız gerektiğini anlamak için çok daha iyi bir yerdesiniz.
Her saldırıda birden fazla cevap olabileceğini, özellikle saldırganlarla ilgilenenlerin (hassas verileri isteyen ancak sahip olmalarına izin verilmeyen insanlar) akılda tutulduğunu unutmayın. En az yarım düzine farklı arketip saldırganı düşünemiyorsanız, farklı motivasyonlara, hedeflere ve kaynaklara sahipseniz, muhtemelen bir şeyleri özlemişsinizdir.
Ayrıca, size (ve / veya müşteriye) en fazla sıkıntı veren, saldırıları başarılı olursa ya da en büyük toplam zararı verenlerin medyada dev bir sıçrama yapması en muhtemel olduğunu unutmayın. saldırıları başarılı olursa bireysel kullanıcılara en büyük zararı verebilecek saldırganlar değil . Müşterinizin şirketi rasyonel olarak toplam hasarı önemser, ancak kullanıcılar rasyonel olarak kendilerine zarar vermeyi önemser.