개발자를 위한 위협 모델링

1장. 모델링 시스템
__시스템 모델을 만드는 이유
__시스템 모델링 유형
____데이터 흐름 다이어그램
____시퀀스 다이어그램
____프로세스 흐름 다이어그램
____공격 트리
____피시본 다이어그램
__시스템 모델을 구축하는 방법
__좋은 시스템은 무엇인가?
__요약


2장. 위협 모델링의 일반화된 접근 방식
__기본 단계
__시스템 모델에서 찾아야 하는 것
____상습범
____발견하기 어려운 것
__위협 인텔리전스 수집
__요약


3장. 위협 모델링 방법론
__들어가기 전에
__필터, 각도, 프리즘을 통해 살펴보기
__방법론을 향해!
____STRIDE
____STRIDE 개별 요소
____STRIDE 개별 상호작용
____공격 시뮬레이션과 위협 분석 프로세스?
____위협 평가와 개선 분석
____Trike
__전문화된 방법론
____LINDDUN
____광기? 이것이 스파르타다!
____INCLUDES NO DIRT
__게임을 해볼까?
____게임: 권한 상승
____게임: 권한 및 개인 정보의 승격
____OWASP 코르누코피아
____보안 및 개인 정보 위협 발견 카드
____게임: LINDDUN GO
__요약


4장. 위협 모델링 자동화
__위협 모델링을 자동화하는 이유
__코드로부터의 위협 모델링
____작동 원리
__코드를 사용한 위협 모델링
____작동 원리
____pytm
____스레자일
__기타 위협 모델링 툴의 개요
____IriusRisk
____SD Elements
____스레트모델러
____OWASP 스레트 드래곤
____마이크로소프트 스레트 모델링 툴
____CAIRIS
____모질라 시스펀지
____튜터먼 스레트 모델 오토메이터
__ML과 AI를 사용한 위협 모델링
__요약


5장. 지속적인 위협 모델링
__지속적인 위협 모델링이 필요한 이유
__지속적인 위협 모델링 방법론
__진화: 개선되고 있음
__오토데스크의 지속적인 위협 모델링 방법론
____베이스라인 설정
____베이스라인 분석
____충분히 했는지 언제 알 수 있는가?
____위협 모델의 모든 스토리
____현장에서 얻은 발견
__요약


6장. 위협 모델링 챔피언으로서의 역할
__경영진으로부터 위협 모델링의 지지를 얻으려면 어떻게 해야 하는가?
__제품 팀의 반대를 어떻게 극복하는가?
__위협 모델링에 실패했다는 느낌(또는 실제 실패했음)을 어떻게 극복하는가?
__여러 유사한 접근 방식에서 어떤 위협 모델링 방법론을 선택해야 하는가?
__'안 좋은 소식'은 어떻게 전달하는가?
__승인된 결과는 어떤 조치를 취해야 하는가?
__뭔가 빠뜨린 게 있는가?
__요약 및 마무리
__참고 도서


부록 A 작업 예제
부록 B 위협 모델링 선언문