Praktyczne modelowanie zagrożeń dla systemów teleinformatycznych z wykorzystaniem modelu STRIDE

pol Article in Polish DOI: 10.14313/PAR_242/93

send Tomasz Kruk Politechnika Warszawska, Wydział Elektroniki i Technik Informacyjnych, Instytut Automatyki i Informatyki Stosowanej, ul. Nowowiejska 15/19, 00-665 Warszawa

Download Article

Streszczenie

W niniejszym artykule opisano praktyczne podejście do zagadnienia stanowiącego aktualnie nieodłączną część wytwarzania nowoczesnych zaawansowanych i złożonych systemów informatycznych – do modelowania zagrożeń teleinformatycznych. W artykule przedstawiono praktyczną zasadność i przebieg procesu modelowania zagrożeń, a następnie opisano jedną z najpopularniejszych metod identyfikacji i analizy zagrożeń – tak zwany model STRIDE.

Słowa kluczowe

bezpieczne wytwarzanie oprogramowania, cyberbezpieczeństwo, model STRIDE, modelowanie zagrożeń

Practical Modelling of Threats to ICT Systems Using the STRIDE Model

Abstract

This article describes a practical approach to the issue which is currently an integral part of the development of modern advanced and complex information systems – ICT threat modelling. The article presents the practical validity and process of threat modelling and then describes one of the most popular methods of threat identification and analysis – the so-called STRIDE model.

Keywords

cyber security, secure software development, STRIDE model, threat modelling

Bibliography

  1. Shostack A., Threat Modeling: Designing for Security, John Wiley & Sons, 2014.
  2. UcedaVelez T., Morana M.M., Risk Centric Threat Modeling: Process for Attack Simulation and Threat Analysis, John Wiley & Sons, 2015.
  3. Shevchenko N., Threat Modeling: 12 Available Methods, Carnegie Mellon University, 2018, https://insights.sei.cmu.edu/blog/threat-modeling-12-available-methods/.
  4. Jagannathan V., Threat Modeling, Architecting and Designing with Security in Mind, 2016, https://owasp.org/www-pdf-archive/AdvancedThreatModeling.pdf
  5. Gumbley J., A Guide to Threat Modelling for Developers, 2020, https://martinfowler.com/articles/agile-threat-modelling.html
  6. Jelacic B., Rosic D., Lendak I., Stanojevic M., Stoja S. (2018) STRIDE to a Secure Smart Grid in a Hybrid Cloud. [In:] Katsikas S. et al. (eds) Computer Security, SECPRE 2017, CyberICPS 2017. “Lecture Notes in Computer Science”, Vol. 10683. Springer, Cham. DOI: 10.1007/978-3-319-72817-9_6.
  7. Khan R., McLaughlin K., Laverty D., Sezer S., (2018). STRIDE-based Threat Modeling for Cyber-Physical Systems. [In:] Proceedings IEEE of 2017 IEEE PES: Innovative Smart Grid Technologies Conference Europe (ISGT-Europe): DOI: 10.1109/ISGTEurope.2017.8260283
  8. Kaneko T., Threat analysis using STRIDE with STAMP/STPA, CEUR Workshop Proceedings (CEUR-WS.org), Vol. 2809, 2018.
  9. de Souza N.P., César C.D.A.C., Bezerra J.D.M., Hirata C.M., Extending STPA with STRIDE to identify cybersecurity loss scenarios. “Journal of Information Security and Applications”. Vol. 55, 2020, DOI: 10.1016/j.jisa.2020.102620.
  10. Sattar D., Vasoukolaei A.H., Crysdale P., Matrawy A., A STRIDE Threat Model for 5G Core Slicing, 2021 IEEE 4th 5G World Forum (5GWF), 2021, 247–252, DOI: 10.1109/5GWF52925.2021.00050.