威胁建模，一个被忽视的高价值古老安全概念

文章预览

安小圈 第589期 安全 · 威胁建模  法规  我一直以为，攻击者就像超人与大侠，可以在网络世界里“飞檐走壁”，而防守者就像民工，在网络世界里日复一日地砌墙、修坝……直到遇到了“威胁建模”。 如果说“零日漏洞（0-DAY）发现”是攻击者视角的明珠的话，那么“威胁建模（Threat Modeling）”就是防守者视角的皇冠。 因为它如果之于团队，就是一项复杂工程；如果之于个人，就是一项技术与创意结合的艺术品。 所以，我们有必要对威胁建模再做一次深入的思考。 【 1 】《威胁建模宣言》自身的问题 虽然上文介绍了 《威胁建模宣言》 全文，但是有朋友反馈，这个《宣言》没看懂。 而通篇我大至也只理解我总结的那句话： 威胁建模本质是在系统分析的基础上叠加安全分析，在数据流图中看清安全隐患 。 是的，因为《宣言》是信仰者的“战斗 ………………………………