脅威モデリングは、悪意のあるハッカーの観点を導入して、システムに害を及ぼす可能性がある脅威エージェントの種類を特定し、どの程度の被害が起こり得るかを確認します。通常のあらかじめ用意されたリスト以外の、新しい攻撃や他の方法では考慮されていない可能性のある攻撃を考察します。
脅威モデリングは、以下を特定することにより、全般的なアタックサーフェスを定義します。
リスク・プロファイルと許容範囲は組織によって異なるという認識から、お客様のニーズと予算に応じたアプローチをご用意します。ブラック・ダックの総合的なアプローチは次の2つの基本ステップで構成されています。
セキュリティに真剣に取り組むなら、脅威モデリングが最も効果的な方法です。
脅威モデリングによってセキュリティ・プロファイルがどのように向上するかについての詳細は、こちらをご覧ください。