1.1　学习威胁建模

1.1.1　你正在构建什么

1.1.2　哪些地方可能会出错

1.1.3　解决每个威胁

1.1.4　检查你的工作

1.2　独立威胁建模

1.3　潜心开始威胁建模的检查列表

1.4　小结

第2章　威胁建模策略

2.1　“你的威胁模型是什么样？”

2.2　集体研讨

2.2.1　集体研讨的变种方法

2.2.2　文献检索

2.2.3　集体研讨方法的观点

2.3　系统的威胁建模方法

2.3.1　关注资产

2.3.2　关注攻击者

2.3.3　关注软件

2.4　软件模型

2.4.1　图表类型

2.4.2　数据流图

2.4.3　信任边界

2.4.4　图表中包含的内容

2.4.5　复杂图

2.4.6　图的标签

2.4.7　图中的颜色

2.4.8　入口点

2.4.9　表验证

2.5　小结

第二部分　发现威胁

第3章　STRIDE方法

3.1　理解STRIDE方法及其为何有用

3.2　假冒威胁

3.2.1　在同一台机器上假冒一个进程或文件

3.2.2　假冒一台机器

3.2.3　人员假冒

3.3　篡改威胁

3.3.1　篡改文件

3.3.2　篡改内存

3.3.3　篡改网络

3.4　否认威胁

3.4.1　攻击日志

3.4.2　否认一种行为

3.5　信息泄露威胁

3.5.1　进程信息泄露

3.5.2　数据存储信息泄露

3.5.3　数据流中的信息泄露

3.6　拒绝服务威胁

3.7　权限提升威胁

3.7.1　通过崩溃进程提升权限

3.7.2　通过授权失效提升权限

3.8　扩展示例：针对Acme-DB的STRIDE威胁

3.9　STRIDE变种

3.9.1　STRIDE-per-Element

3.9.2　STRIDE-per-Interaction

3.9.3　DESIST方法

3.10　准出条件

3.11　小结

第4章　攻击树

4.1　使用攻击树

4.1.1　利用攻击树寻找威胁

4.1.2　创建新的攻击树

4.2　展现一个攻击树

4.2.2　结构化的表示法

4.3　攻击树示例

4.4　真实的攻击树

4.4.1　诈骗攻击树

4.4.2　选举操作评估威胁树

4.4.3　思维导图

4.5　有关攻击树的观点

4.6　小结

第5章　攻击库

5.1　攻击库属性

5.1.1　攻击库及检查列表

5.1.2　攻击库与文档检查

5.2　CAPEC

5.2.1　准出条件

5.2.2　有关CAPEC的观点

5.3　OWASP前十名

5.4　小结

第6章　隐私工具

6.1　Solove的隐私分类

6.2　互联网协议的隐私考虑

6.3　隐私影响评估

6.4　Nymity Slider和隐私棘轮

6.5　语境完整性

6.5.1　语境完整性启发式决策

6.5.2　扩大的语境完整性启发法

6.5.3　有关语境完整性的观点

6.6　LINDDUN助记符

6.7　小结

第三部分　管理和解决威胁

第7章　处理和管理威胁

7.1　开始威胁建模项目

7.1.1　何时开始威胁建模

7.1.2　从哪里开始和（计划）在哪结束

7.1.3　从哪里入手

7.2　深入分析减缓方法

7.2.1　减缓顺序

7.2.2　下棋

7.2.3　目标优选

7.2.4　逃避熊的袭击

7.3　利用表格和列表跟踪

7.3.1　追踪威胁

7.3.2　建立假设

7.3.3　外部安全注解

7.4　威胁建模的特定场景元素

7.4.1　客户/供应商信任边界

7.4.2　新技术

7.4.3　对API威胁建模

7.5　小结

第8章　防御策略及技术

8.1　减缓威胁的策略及技术

8.1.1　认证：减缓欺骗威胁

8.1.2　完整性：减缓篡改威胁

8.1.3　不可否认性：减缓否认威胁

8.1.4　机密性：减缓信息暴露威胁

8.1.5　可用性：减缓拒绝服务威胁

8.1.6　授权：减缓权限提升威胁

8.1.7　策略和技术陷阱

8.2　利用模式解决威胁

8.2.1　标准部署

8.2.2　解决CAPEC威胁

8.3　减缓隐私威胁

8.3.1　最小化

8.3.2　加密

8.3.3　遵从性和政策

8.4　小结

第9章　解决威胁时的权衡

9.1　风险管理的经典策略

9.1.1　回避风险

9.1.2　解决风险

9.1.3　接受风险

9.1.4　转移风险

9.1.5　忽略风险

9.2　为风险管理选择减缓措施

9.2.1　改变设计

9.2.2　应用标准减缓技术

9.2.3　设计定制的减缓措施

9.2.4　模糊编码不是减缓威胁措施

9.3　针对特定威胁的优先级方法

9.3.1　简单方法

9.3.2　利用错误栏威胁排序

9.3.3　成本估算方法

9.4　通过接受风险来减缓威胁

9.5　减缓策略中的军备竞赛

9.6　小结

第10章　验证威胁是否已解决

10.1　测试威胁减缓

10.1.1　测试过程完整性

10.1.2　如何测试减缓

10.1.3　渗透测试

10.2　检查你获取的代码

10.2.1　构建软件模型

10.2.2　利用软件模型

10.3　问答式威胁建模

10.3.1　模型/现实一致性

10.3.2　任务和过程的完成

10.3.3　漏洞检查

10.4　解决威胁的过程各方面

10.4.1　威胁建模授权测试；测试授权威胁建模

10.4.2　验证/转换

10.4.3　操作过程中记录假设

10.5　表格与列表

10.6　小结

第11章　威胁建模工具

11.1　通用工具

11.1.1　白板

11.1.2　办公套件

11.1.3　漏洞跟踪系统

11.2　开放源代码工具

11.2.1　TRIKE

11.2.2　SeaMonster

11.2.3　权限提升纸牌游戏

11.3　商业工具

11.3.1　Threat Modeler

11.3.2　Corporate Threat Modeller

11.3.3　SecurITree

11.3.4　Little-JIL

11.3.5　微软的SDL威胁建模工具

11.4　尚不存在的工具

11.5　小结

第四部分　科技和棘手

领域的威胁建模

第12章　需求手册

12.1　为何需要“手册”

12.2　需求、威胁、减缓威胁之间相互作用

12.3　商业需求

12.3.1　优于竞争

12.3.2　产业需求

12.3.3　场景驱动的需求

12.4　防御/检测/响应需求框架

12.4.1　防御

12.4.2　检测

12.4.3　响应

12.5　人员/过程/技术作为需求的框架

12.5.1　人员

12.5.2　过程

12.5.3　技术

12.6　开发需求与采购需求

12.7　合规性驱动的需求

12.7.1　云服务安全联盟

12.7.2　NISTPublication200

12.7.3　支付卡行业数据安全标准

12.8　隐私需求

12.8.1　公平信息处理条例

12.8.2　从设计着手保护隐私

12.8.4　微软开发隐私标准

12.9　STRIDE需求

12.9.1　认证

12.9.2　完整性

12.9.3　不可否认性

12.9.4　机密性

12.9.5　可用性

12.9.6　授权

12.10　非需求

12.10.1　操作非需求

12.10.2　警告和提示

12.10.3　微软的“十个不变法则”

12.11　小结

第13章　网络与云威胁

13.1　网络威胁

13.1.1　网站威胁

13.1.2　网络浏览器和插件威胁

13.2　云租户威胁

13.2.1　内部威胁

13.2.2　合租威胁

13.2.3　合规性威胁

13.2.4　法律威胁

13.2.5　电子取证响应威胁

13.2.6　各种各样的威胁

13.3　云供应者威胁

13.3.1　直接来自租户的威胁

13.3.2　租户行为导致的威胁

13.4　移动威胁

13.5　小结

14.1　账户生命周期

14.1.1　创建账户

14.1.2　账户维护

14.1.3　账户终止

14.1.4　账户生命周期检查列表

14.2　认证

14.2.1　登录

14.2.2　登录失败

14.2.3　对于“你所拥有的”威胁

14.2.4　对“你是谁”的威胁

14.2.5　对“你所知道的”威胁

14.2.6　认证检查列表

14.3　账户恢复

14.3.1　时间和账户恢复

14.3.2　账户恢复邮件

14.3.3　基于知识的认证

14.3.4　社会认证

14.3.5　账户恢复的攻击者驱动分析

14.3.6　多渠道认证

14.3.7　账户恢复检查列表

14.4　姓名、ID和SSN

14.4.1　姓名

14.4.2　身份证明文件

14.4.4　身份盗用

14.4.5　姓名、ID及SSN检查列表

14.5　小结

第15章　人类因素与可用性

15.1　人的模型

15.1.1　应用人的行为模型

15.1.2　人的模型认知科学

15.1.3　人的启发式模型

15.2　软件情景模型

15.2.1　对软件进行建模

15.2.2　软件模型的图表

15.2.3　对电子社会工程攻击的建模

15.3　威胁引出技术

15.3.1　集体研讨

15.3.2　威胁建模的仪式方法

15.3.3　仪式分析启发式

15.3.4　将可用性融于四步框架

15.4　解决人类因素的工具和技术

15.4.1　抑制人类因素作用的谬见

15.4.2　良好的设计决策模型

15.4.3　良好学习环境的设计模型

15.5　用户界面工具和技术

15.5.1　配置

15.5.2　显式警示

15.5.3　吸引注意力的模型

15.6　测试人类因素

15.6.1　良好和恶劣的情景

15.6.2　生态有效性

15.7　有关可用性与仪式的观点

15.8　小结

第16章　密码系统威胁

16.1　密码原语

16.1.1　基本原语

16.1.2　隐私原语

16.1.3　现代加密原语

16.2　典型威胁角色

16.3　针对密码系统的攻击

16.4　用密码创建

16.4.1　做决定

16.4.2　准备升级

16.4.3　密钥管理

16.4.4　解密之前验证

16.5　关于密码需要记住的事情

16.5.1　使用专业人士设计的密码系统

16.5.2　用专业人士创建或测试的密码代码

16.5.3　密码不是安全魔尘

16.5.4　假设都会公开

16.5.5　你仍需要管理密钥

16.6　加密系统：Kerckhoffs及其原则

16.7　小结

第五部分　更上一层楼

第17章　将威胁建模带到你的组织机构中

17.1　如何引入威胁建模

17.2　谁做什么

17.3　在开发生命周期中的威胁建模

17.4　克服对威胁建模的反对声音

17.5　小结

第18章　试验方法

18.1　查看缝隙

18.2　操作威胁模型

18.3　“宽街”分类法

18.4　博弈机器学习

18.5　对一家企业进行威胁建模

18.6　针对威胁建模方法的威胁

18.7　如何实验

18.8　小结

第19章　成功的设计

19.1　理解流程

19.2　了解参与者

19.3　边界对象

19.4　“最好”是“好”的敌人

19.5　展望未来

19.6　小结

附录A　有用的工具

附录B　威胁树

附录C　攻击者列表

附录D　权限提升纸牌游戏

附录E　案例研究

术语表

附：威胁建模：设计和交付更安全的软件.pdf

▲

- The end -返回搜狐，查看更多