개발자를 위한 위협 모델링

개발자를 위한 위협 모델링

$28.89
Ask a Question
Vendor: 에이콘출판 - 이자르 타란다쉬, 매튜 콜스
Type: 보안/해킹
SKU: 9791161756868
Categories: ALL BOOKS 컴퓨터/인터넷 컴퓨터/인터넷_OS/Networking
Tags: 개발자를위한위협모델링 컴퓨터/IT_보안/해킹
Description
위협 모델링은 개발 수명 주기에서 가장 필수적이지만 가장 잘못 이해되고 있는 부분이기도 하다. 이 책은 위협으로부터 시스템을 보호하기 위해 보안 실무자 또는 개발 팀 구성원 모두에게 도움이 될 만한 핵심 위협 모델링 개념을 실무에 적용시키는 방법을 소개한다.
저자

이자르타란다쉬,매튜콜스

IzarTarandach
브리지워터어소시에이츠(BridgewaterAssociates)의수석보안설계자다.이전에는오토데스크(Autodesk)에서수석제품보안설계자로,델(Dell)EMC에서엔터프라이즈하이브리드클라우드보안설계자로근무했으며,델EMC제품보안실에서장기간보안고문을담당했다.세이프코드(SAFECode)의핵심멤버이자IEEE보안설계센터의창립멤버다.보스턴대학교에서디지털포렌식강의를,오리건대학교에서보안개발강의를진행했다.

목차

1장.모델링시스템
__시스템모델을만드는이유
__시스템모델링유형
____데이터흐름다이어그램
____시퀀스다이어그램
____프로세스흐름다이어그램
____공격트리
____피시본다이어그램
__시스템모델을구축하는방법
__좋은시스템은무엇인가?
__요약

2장.위협모델링의일반화된접근방식
__기본단계
__시스템모델에서찾아야하는것
____상습범
____발견하기어려운것
__위협인텔리전스수집
__요약

3장.위협모델링방법론
__들어가기전에
__필터,각도,프리즘을통해살펴보기
__방법론을향해!
____STRIDE
____STRIDE개별요소
____STRIDE개별상호작용
____공격시뮬레이션과위협분석프로세스?
____위협평가와개선분석
____Trike
__전문화된방법론
____LINDDUN
____광기?이것이스파르타다!
____INCLUDESNODIRT
__게임을해볼까?
____게임:권한상승
____게임:권한및개인정보의승격
____OWASP코르누코피아
____보안및개인정보위협발견카드
____게임:LINDDUNGO
__요약

4장.위협모델링자동화
__위협모델링을자동화하는이유
__코드로부터의위협모델링
____작동원리
__코드를사용한위협모델링
____작동원리
____pytm
____스레자일
__기타위협모델링툴의개요
____IriusRisk
____SDElements
____스레트모델러
____OWASP스레트드래곤
____마이크로소프트스레트모델링툴
____CAIRIS
____모질라시스펀지
____튜터먼스레트모델오토메이터
__ML과AI를사용한위협모델링
__요약


5장.지속적인위협모델링
__지속적인위협모델링이필요한이유
__지속적인위협모델링방법론
__진화:개선되고있음
__오토데스크의지속적인위협모델링방법론
____베이스라인설정
____베이스라인분석
____충분히했는지언제알수있는가?
____위협모델의모든스토리
____현장에서얻은발견
__요약

6장.위협모델링챔피언으로서의역할
__경영진으로부터위협모델링의지지를얻으려면어떻게해야하는가?
__제품팀의반대를어떻게극복하는가?
__위협모델링에실패했다는느낌(또는실제실패했음)을어떻게극복하는가?
__여러유사한접근방식에서어떤위협모델링방법론을선택해야하는가?
__‘안좋은소식’은어떻게전달하는가?
__승인된결과는어떤조치를취해야하는가?
__뭔가빠뜨린게있는가?
__요약및마무리
__참고도서

부록A작업예제
부록B위협모델링선언문

출판사 서평

◈이책에서다루는내용◈

◆데이터와시스템기능을보호하기위한기본속성및메커니즘탐색
◆보안,개인정보보호,안전의관계이해
◆시스템보안평가를위한주요특성파악
◆시스템모델링과분석을위한일반적이고특별한기술검토
◆데브옵스자동화를포함한위협모델링의미래와애자일개발방법론의미래
◆일반적인위협모델링의함정을피하는방법

◈이책의대상독자◈

설계와개발프로세스,출시된시스템의보안태세를높일책임이있는시스템개발팀구성원(개발자,설계자,디자이너,테스터,데브섹옵스)을위한책이다.여기에는제품또는IT시스템을설계,구축,유지관리하는사람도포함된다.
위협모델링을아직경험해보지않은기존보안실무자에게도유용하지만특히시스템개발팀을염두에두고작성했다.제품관리자,프로그램관리자,다른기술자도최소한프로세스에서자신의가치를이해하고있어야한다.

◈이책의구성◈

1장에서는시스템모델링기술을살펴보고시스템보안을평가하는데중요한주요특성을파악하는방법을설명한다.
2장과3장에서는시스템개발수명주기의활동으로서위협모델링의개요를설명하고,시스템을모델링하고분석할때사용가능한일반적인위협모델링기술을설명한다.
2장이후부터는위협모델링이왜중요한활동인지이미알고있는상태에서보안설계의원칙을수행하는전문보안실무자를포함해모든독자에게도움이되는내용을담고있다.
4장과5장에서는위협모델링방법론의미래와자동화,데브옵스자동화를포함한애자일개발방법론을설명한다.새롭고흥미로운방식의위협모델링을수행하는특별한기술도다룬다.
6장에서는조직에서위협모델링적용을시작하려는개발팀으로부터자주듣는질문을설명한다.일반적인함정과장애물을피하는방법을위한조언과지침을준다.
부록A에서는위협시스템모델을구성하고분석하고자pytm을사용한예제를제공한다.

◈옮긴이의말◈

이책은위협모델링이무엇인지,왜필요하고,어떻게만들고,어떻게관리해야하는지에관한전반적인가이드를제공한다.특별한보안전문지식이없어도위협모델링을만들고수행할수있도록격려하며,처음부터완벽한모델링을만들기보다는시행착오를겪어가며조직에맞는모델링방법론을찾고개선하기를권장한다.
위험을식별하는것도중요하지만보안마인드를갖고제품보안의체계를만들어가는것또한위협모델링의목적이다.한번만드는것으로끝나지않고지속적으로시스템의변경사항을관리해야진정한위협모델링의의미를찾을수있을것이다.
저자는수십년간현장에서쌓은경험을통해얻은노하우를이책에담았다.시스템모델링을만드는방법부터위협모델링의기본적인흐름,방법론의종류,자동화방법,위협모델링툴등보안을처음시작하는입문자에게도도움이될만한내용을설명하고있으므로위협모델링에관심이많은독자에게추천한다.