Modele de menace PASTA
Qu'est-ce que Modele de menace PASTA ?
Modele de menace PASTAProcess for Attack Simulation and Threat Analysis, methodologie de modelisation des menaces orientee risque en sept etapes qui aligne menaces techniques et impact metier.
PASTA (Process for Attack Simulation and Threat Analysis) est une methodologie de modelisation des menaces orientee risque definie par Tony UcedaVelez et Marco Morana. Elle est structuree en sept etapes : definition des objectifs, perimetre technique, decomposition de l'application, analyse des menaces, analyse des vulnerabilites et faiblesses, modelisation des attaques, analyse du risque et de l'impact. PASTA met l'accent sur le lien entre menaces techniques et objectifs et impacts metier mesurables, en s'appuyant sur des DFD, des bibliotheques d'attaques et des abuse cases. Les grandes entreprises l'adoptent souvent pour disposer d'un processus defendable et repetable, aligne sur NIST, ISO 27005 et FAIR, qui s'integre a ASVS, MITRE ATT&CK et CAPEC.
● Exemples
- 01
Une banque tient un atelier PASTA sur sa plateforme de paiement mobile pour prioriser les menaces de fraude selon l'impact revenus.
- 02
Utilisation de patterns CAPEC en etape 6 de PASTA pour enumerer des scenarios d'attaque realistes contre une API critique.
● Questions fréquentes
Qu'est-ce que Modele de menace PASTA ?
Process for Attack Simulation and Threat Analysis, methodologie de modelisation des menaces orientee risque en sept etapes qui aligne menaces techniques et impact metier. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie Modele de menace PASTA ?
Process for Attack Simulation and Threat Analysis, methodologie de modelisation des menaces orientee risque en sept etapes qui aligne menaces techniques et impact metier.
Comment fonctionne Modele de menace PASTA ?
PASTA (Process for Attack Simulation and Threat Analysis) est une methodologie de modelisation des menaces orientee risque definie par Tony UcedaVelez et Marco Morana. Elle est structuree en sept etapes : definition des objectifs, perimetre technique, decomposition de l'application, analyse des menaces, analyse des vulnerabilites et faiblesses, modelisation des attaques, analyse du risque et de l'impact. PASTA met l'accent sur le lien entre menaces techniques et objectifs et impacts metier mesurables, en s'appuyant sur des DFD, des bibliotheques d'attaques et des abuse cases. Les grandes entreprises l'adoptent souvent pour disposer d'un processus defendable et repetable, aligne sur NIST, ISO 27005 et FAIR, qui s'integre a ASVS, MITRE ATT&CK et CAPEC.
Comment se défendre contre Modele de menace PASTA ?
Les défenses contre Modele de menace PASTA combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Modele de menace PASTA ?
Noms alternatifs courants : Process for Attack Simulation and Threat Analysis, PASTA.
● Termes liés
- appsec№ 1150
Modélisation des menaces
Analyse structurée qui identifie les actifs, menaces, vulnérabilités et contre-mesures d'un système afin d'intégrer la sécurité dès la conception.
- compliance№ 751
Methode OCTAVE
Methodologie d'evaluation des risques de securite de l'information developpee par le SEI de CMU, centree sur le risque organisationnel et operationnel des actifs critiques.
- compliance№ 143
CAPEC
Common Attack Pattern Enumeration and Classification, catalogue public maintenu par MITRE qui recense les schemas d'attaque utilises pour exploiter des faiblesses connues.
- compliance№ 936
Gestion des risques
Processus coordonné d'identification, d'analyse, d'évaluation, de traitement, de suivi et de communication des risques afin de les maintenir dans la tolérance définie par l'organisation.
- compliance№ 775
OWASP ASVS
Application Security Verification Standard de l'OWASP, catalogue d'exigences de securite testables pour concevoir, construire et verifier des applications web et APIs.