首先要做的是构建威胁模型.只有在您了解之后:
你能合理地开始制定解决方案吗?例如,如果资源是我的电视,那么漏洞就是一个开放的窗口,攻击者有动机获取经济利益,而他们构成的威胁是我的电视被盗,然后我就可以开始制定解决方案了.
考虑一下在您拥有资源,漏洞,动机和威胁列表后变得明显的多管齐下的解决方案.我可以:
请注意,一个好的解决方案具有深度防御.不要只是停在那里.寻找更多漏洞.寻找更多使攻击者失去动力的方法.寻找更多降低成功攻击成本的方法.但所有这一切都取决于拥有准确的威胁模型,所以首先要这样做.
这里有一些资源可以帮助您入门:
http://www.microsoft.com/security/sdl/getstarted/threatmodeling.aspx
| 归档时间: |
|
| 查看次数: |
554 次 |
| 最近记录: |