Threat Model

Зачем вам это нужно?

Обучение команд разработки моделированию угроз позволит: - сократить трудозатраты подразделения безопасности; - сократить количество итераций ревью Архитектуры; - исключить необходимость изучать все угрозы безопасности; - проводить моделирование угроз с набором готовых уязвимостей по методологии STRIDE, в виде игральных карт; - ваши разработчики смогут применять полученные знания самостоятельно в дальнейшем.

Что такое STRIDE?

STRIDE — это модель для определения угроз компьютерной безопасности, разработанная компанией Microsoft. Название модели происходит из первых букв 6 угроз

Угроза

Нарушаемое свойство

Определение угрозы

Spoofing (подмена) - Аутентичность - выдача себя за что-то или кого-то другого. Tampering (вмешательство) - Целостность - изменение данных или кода. Repudiation (отказ от участия) - Неотказуемость - заявление о том, что вы не выполняли какое-либо действие. Information disclosure (раскрытие информации) - Конфиденциальность - предоставление информации лицу, не имеющему права на ее просмотр. Denial of service (отказ в обслуживании) - Доступность - отказ в обслуживании пользователей или ухудшение их качества обслуживания. Elevation of privilege (повышение привилегий) - Авторизация - получение возможностей без надлежащего разрешения.

Что такое STRIDE?

ОПРЕДЕЛЕНИЕ УГРОЗЫ	НАРУШАЕМОЕ СВОЙСТВО	УГРОЗА
Выдача себя за что-то или кого-то другого	Аутентичность	Spoofing (подмена)
Изменение данных или кода.	Целостность	Tampering (вмешательство)
Заявление о том, что вы не выполняли какое-либо действие	Неотказуемость	Repudiation (отказ от участия)
Предоставление информации лицу, не имеющему права на ее просмотр	Конфиденциальность	Information disclosure (раскрытие информации
Отказ в обслуживании пользователей или ухудшение их качества обслуживания	Доступность	Denial of service (отказ в обслуживании)
Получение возможностей без надлежащего разрешения.	Авторизация	Elevation of privilege (повышение привилегий)

Какие частые проблемы возникают у клиентов?

Со стороны команды безопасности:

- сейчас на рынке дефицит кадров, на 1 специалиста по безопасности приходится от 100 разработчиков; - команда безопасности не может уделить всем время; - уменьшается начальный порог входа у разработчиков; - как следствие, затрачивается большое количество времени на переработку уязвимой архитектуры.

Со стороны команды разработки:

- команда безопасности перегружена и не может уделить нужного времени; - узкий пул компетенций в области моделирования угроз; - отсутствие постоянной практики в области Threat Modelling; - дедлайны по собственным работам, отсутствие времени на глубокое погружение в тематику; - отсутствие образования в области безопасности.

В результате это приводит к выявлению дорогостоящих ошибок на этапе эксплуатации и повторной переработке архитектуры продукта.

Какие последствия наступают в случае бездействия предпринимателя?

- кража интеллектуальной собственности (коммерческая тайна, объекты авторского права и секреты ноу-хау); - утечка конф. инф, персональных данных; - атаки вымогателей; - простой инфраструктуры после отказа; - отказ в обслуживании; - утеря контроля над инфраструктурой; - увеличение сроков и стоимости разработки.

В некоторых случаях из-за высоких затрат на полную переработку продукта, уязвимая архитектура остается в продукте - навсегда

Почему эту услугу стоит купить, а не делать самостоятельно?

Без нас, самостоятельно:

- отсутствие полного спектра компетенций; - загруженность команды безопасности; - скучное обучение непрофильным компетенциям; - отсутствие опыта выступлений перед публикой.

С нами:

- имеем широкий пул компетенций; - взращиваем специалистов и интегрируем их в процессы компании; - большой преподавательский опыт, умение заинтересовать слушателя; - богатый опыт выступлений на топовых конференциях, проведений воркшопов и подобных игр.

Почему наши услуги стоит купить сейчас, а не потом?

Если потом, то есть риски:

- потери всей интеллектуальной собственности (коммерческая тайна, объекты авторского права, секреты и ноу-хау) компании; - получения штрафа за утечку конфиденциальной информации, персональных данных; - получения зашифрованной инфраструктуры, и невозможности восстановления, даже после уплаты выкупа; - невозможности обеспечения надлежащего качества услуг, потеря клиентов; - потери контроля над инфраструктурой; - и др.

Если сейчас, то увеличиваются шансы:

- сохранения интеллектуальную собственность (коммерческая тайна, объекты авторского права и секреты ноу-хау) компании; - защиты от утечек конфиденциальной информации и персональных данных; - противодействия и успешного восстановления после атак вымогателей; - поддержки SLA и обеспечение защиты от атак на отказ в обслуживании; - сохранения полного контроля над инфраструктурой; - и др.

Реализация одной из перечисленных выше атак может привести к полной остановке работоспособности бизнеса!

Почему эту услугу стоит купить у нас, а не у конкурентов?

Конкуренты:

Специалисты неизвестного происхождения с небольшим, сомнительным и ничем не подтвержденным опытом работы в мелких компаниях. 1. Ноунеймы; 2. Отсутствие комплексной экспертизы в предпетной области; 3. Отсутствие системного подхода; 4. Отсутствие понимание бизнес вэлью; 5. Топорный и шаблонный подход к клиенту.

Мы:

Наша команда состоит из высококлассных действующих специалистов, работающих в топовых российских компаниях. 1. Мы – команда профессионалов с богатым опытом работы; 2. Богатый опыт работы в области моделирования угроз; 3. Комплексный подход к решению проблем; 4. Общаемся с бизнесом на одном языке; 5. Индивидуальный и гибкий подход к клиенту.

Как мы понимаем, что работа выполнена хорошо?

После нашей игры ваша команда:

- будет обучена моделированию угроз; - получит настольную игру с необходимыми материалами и угрозами; - сможет самостоятельно проводить подобные игры; - находить угрозы в своих продуктах; - придумывать способы митигации угроз; - создавать безопасную архитектуру.

Почему мы эксперты в данной области?

Наша экспертиза подтверждена:

- многолетним опытом работы в крупнейших компаниях на Российском рынке на высоких должностях - множеством успешных кейсов трансформации безопасности компаний - выступлениями по теме Моделирования гроз

ff6fab2e-6c48-47f6-913a-522ad81afba1-моделирование_угроз.png

90224709-01de-438d-8f77-039d1b0b376e-разработка_модели_угроз_продукта_n.png

Почему сотрудничество с нами может решить именно ваши проблемы?

Наш фундаментальный подход и опыт работы в соответствующих отраслях позволяет удовлетворить любую потребность в организации безопасности, а также помочь с реализацией требований регуляторов.

Наши цены

Стоимость проведения игры 400 000 р. Продолжительность 2-5 ч. (в зависимости от сложности архитектуры) Кол-во участников от 3 до 6 человек. Место проведения: приедем к вам в офис или организуем на нашей площадке. Проведение игр в других городах и странах по согласованию.

Порядок выполнения работ:

- заказчик определяет список игроков и исследуемый продукт; - заключаем договор и подписываем NDA; - определяем дату, время и место проведения; - в указанную дату, время и место прибывают ведущие мероприятия; - команде вручается настольная игра "Ever Secure Elevation of Privilege", содержащая карты угроз, их описание, алгоритм проведения игры и все необходимые пояснения; - во время игры ведущие помогают игрокам лучше понять механику угроз и применить их к архитектуре продукта; - команда получает сформированный перечень угроз по архитектуре; - подписываем акты выполненных работ; - собираем отзывы; - при необходимости выбираем следующий продукт или команду.

По желанию заказчик имеет права проводить запись мероприятия, для дальнейшего внутреннего использования