Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
OWASP Threat Dragon 1.0 – darmowe narzędzie do modelowania zagrożeń dla aplikacji webowych
Po kilku latach rozwoju, niedawno dostaliśmy wersję 1.0 narzędzia Threat Dragon. O co chodzi w modelowaniu zagrożeń? W skrócie: często aplikacje webowe są tworzone bez żadnego pomysłu na bezpieczeństwo, czasem ten pomysł jest, ale wynika z punktowej inicjatywy danej osoby; przy dużych systemach jednak warto się kompleksowo zastanowić jakie są rozmaite zagrożenia dla naszej aplikacji (i później systematycznie sobie z nimi radzić). Czasem może okazać się, że np. nie jest problemem jakaś techniczna luka, ale raczej dostęp dla zewnętrznego partnera, który o ITsec w życiu nie słyszał i nie chce słyszeć („błeee, to tylko niepotrzebne koszty”).
W każdym razie mamy dostępne darmowe i opensourceowe narzędzie dla osób działających zgodnie z modelem STRIDE. Twórcy obiecują świetny interfejs użytkownika / łatwość pracy z narzędziem również osobom nie będących specjalistami IT / integrację z narzędziami używanymi często w procesie SDLC:
- Great UX – using Threat Dragon should be simple, engaging and fun
- A powerful threat/mitigation rule engine – this lowers the barrier to entry for teams and allow non-specialists to contribute
- Integration points with other development lifecycle tools – when implemented this will ensure that models slot easily into the development lifecycle and remain relevant as the project evolves
–ms
Fajne narzędzie! A możecie coś polecić na Kaliego by tworzyć mindmapy do pentestów? Większość narzędzi online.
XMind
Narzędzia on-line, pentest.. trochę słabe połączenie :P
freeplane
Dla osób zainteresowanych modelowaniem zagrożeń: https://wolski.pro/kategoria/modelowanie-zagrozen/