PASTA-Threat-Model
Was ist PASTA-Threat-Model?
PASTA-Threat-ModelProcess for Attack Simulation and Threat Analysis, eine risikoorientierte, siebenstufige Methodik fur Threat Modeling, die technische Bedrohungen mit Geschaftsfolgen verknupft.
PASTA (Process for Attack Simulation and Threat Analysis) ist eine von Tony UcedaVelez und Marco Morana definierte risikozentrische Threat-Modeling-Methodik. Sie ist in sieben Stufen gegliedert: Ziele definieren, technischen Scope festlegen, Anwendungszerlegung, Bedrohungsanalyse, Vulnerability- und Weakness-Analyse, Attack Modeling sowie Risk and Impact Analysis. PASTA hebt die Verknupfung technischer Bedrohungen mit Geschaftszielen und quantifizierbarem Impact hervor und nutzt Datenflussdiagramme, Angriffsbibliotheken und Abuse Cases. Grossere Unternehmen wahlen PASTA fur einen belastbaren, wiederholbaren Prozess in Linie mit NIST, ISO 27005 und FAIR; die Methode integriert sich gut mit ASVS, MITRE ATT&CK und CAPEC.
● Beispiele
- 01
Eine Bank fuhrt einen PASTA-Workshop fur ihre Mobile-Payment-Plattform durch, um Fraud-Bedrohungen nach Umsatz-Impact zu priorisieren.
- 02
Einsatz von CAPEC-Mustern in PASTA-Stufe 6, um realistische Angriffsszenarien gegen eine kritische API zu enumerieren.
● Häufige Fragen
Was ist PASTA-Threat-Model?
Process for Attack Simulation and Threat Analysis, eine risikoorientierte, siebenstufige Methodik fur Threat Modeling, die technische Bedrohungen mit Geschaftsfolgen verknupft. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet PASTA-Threat-Model?
Process for Attack Simulation and Threat Analysis, eine risikoorientierte, siebenstufige Methodik fur Threat Modeling, die technische Bedrohungen mit Geschaftsfolgen verknupft.
Wie funktioniert PASTA-Threat-Model?
PASTA (Process for Attack Simulation and Threat Analysis) ist eine von Tony UcedaVelez und Marco Morana definierte risikozentrische Threat-Modeling-Methodik. Sie ist in sieben Stufen gegliedert: Ziele definieren, technischen Scope festlegen, Anwendungszerlegung, Bedrohungsanalyse, Vulnerability- und Weakness-Analyse, Attack Modeling sowie Risk and Impact Analysis. PASTA hebt die Verknupfung technischer Bedrohungen mit Geschaftszielen und quantifizierbarem Impact hervor und nutzt Datenflussdiagramme, Angriffsbibliotheken und Abuse Cases. Grossere Unternehmen wahlen PASTA fur einen belastbaren, wiederholbaren Prozess in Linie mit NIST, ISO 27005 und FAIR; die Methode integriert sich gut mit ASVS, MITRE ATT&CK und CAPEC.
Wie schützt man sich gegen PASTA-Threat-Model?
Schutzmaßnahmen gegen PASTA-Threat-Model kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für PASTA-Threat-Model?
Übliche alternative Bezeichnungen: Process for Attack Simulation and Threat Analysis, PASTA.
● Verwandte Begriffe
- appsec№ 1150
Bedrohungsmodellierung
Strukturierte Analyse, die Assets, Bedrohungen, Schwachstellen und Gegenmaßnahmen eines Systems identifiziert, damit Sicherheit im Design verankert und nicht nachträglich ergänzt wird.
- compliance№ 751
OCTAVE-Methode
Eine vom CMU Software Engineering Institute entwickelte Methodik fur Informationssicherheits-Risikobewertung, die organisationale und operative Risiken kritischer Assets fokussiert.
- compliance№ 143
CAPEC
Common Attack Pattern Enumeration and Classification, ein von MITRE gepflegter offentlicher Katalog von Angriffsmustern, mit denen Angreifer bekannte Schwachstellen ausnutzen.
- compliance№ 936
Risikomanagement
Der koordinierte Prozess zur Identifikation, Analyse, Bewertung, Behandlung, Überwachung und Kommunikation von Risiken, um sie innerhalb der von der Organisation definierten Toleranz zu halten.
- compliance№ 775
OWASP ASVS
OWASP Application Security Verification Standard, ein Katalog testbarer Sicherheitsanforderungen fur Entwurf, Bau und Verifikation von Webanwendungen und APIs.