Threat Modelling

Threat Modelling

잠재적인 보안위협을 식별하고 우선순위를 지정하여 해결하기 위한 체계적인 접근 방식

 

위협 & 취약점 & 위험 (Threat & Vulnerability & Risk)

• 위협(Threat)
  정보의 기밀성, 무결성, 가용성을 손상시키기 위해 취약점을 악용할 수 있는 잠재적인 사건, 이벤트 또는 행위자를 의미한다.
  이는 사이버 공격, 인적 오류, 자연재해 등 다양한 형태가 될 수 있다.
  
  
• 취약점(Vulnerability)
  위협에 의해 악용되어 피해를 입힐 수 있는 시스템, 애플리케이션 또는 프로세스의 약점 또는 결함.
  소프트웨어 버그, 잘못된 논리적 구성 또는 설계 결함으로 인해 발생 될 수 있다.
  
  
• 위험(Risk)
  취약점을 이용하는 위협으로 인해 손상될 가능성.
  공격이 성공할 가능성과 이로 인해 발생할 수 있는 피해의 정도.

 

Threat Modelling Process

1. 범위정의
2. 자산식별
3. 위협식별
4. 취약점 분석 및 위험 우선순위 지정
5. 대응책 개발 및 실행
6. 모니터링 및 평가

 

Threat Modelling Framework

Framework	비고
MITRE ATT&CK	잠재적인 위험과 취약성에 더 중점을 두는 DREAD 및 STRIDE와 달리 적의 전술을 매핑하여 실용적이고 실무적인 접근 방식 제공 * 위협 행위자가 사용하는 알려진 공격 기술에 대해 기존 제어의 효율성을 평가
DREAD	DREAD는 STRIDE 또는 MITRE ATT&CK보다 더 수치적이고 계산된 위협 분석 접근 방식을 제공하여 위협의 우선순위를 명확하게 지정하는것에 효율적이다 * 특정 위협과 관련된 잠재적 위험을 정성적으로 평가 * 각 DREAD 구성요소에서 생성된 종합 점수를 기반으로 위험 완화의 우선순위를 지정
STRIDE	MITRE ATT&CK와 같은 다른 프레임워크는 실제 적의 전술에 중점을 두는 반면, STRIDE는 구조와 방법론에 효과적으로 소프트웨어, 시스템과 관련된 위협을 체계적으로 검토할 수 있다 * 소프트웨어와 시스템의 위협을 분석하고 분류 * 특정 위협 유형을 완하하기 위해 적절한 보안제어를 구현
PASTA	위협 모델링을 비즈니스 목표에 맞게 조장하는데 효과적으로, 다른 프레임워크와 달리 PASTA는 비즈니스 컨텍스트를 통합하여 조직에 보다 총체적이고 적응 가능한 선택을 하도록 해준다 * 비즈니스 목표에 맞춰 위험 중심 위협 모델링 * 조직에 대한 잠재적 영향과 위험 수준을 기준으로 위협의 우선순위를 지정 * 다양한 조직 상황에 적용할 수 있는 유연한 방법론 구축