Модель угроз PASTA
Что такое Модель угроз PASTA?
Модель угроз PASTAProcess for Attack Simulation and Threat Analysis — риск-ориентированная семиэтапная методология моделирования угроз, связывающая технические угрозы с бизнес-последствиями.
PASTA (Process for Attack Simulation and Threat Analysis) — риск-ориентированная методология моделирования угроз, разработанная Тони Уседа-Велесом и Марко Мораной. Она состоит из семи этапов: определение целей, определение технического scope, декомпозиция приложения, анализ угроз, анализ уязвимостей и слабостей, моделирование атак и анализ риска и последствий. PASTA подчёркивает связь технических угроз и эксплойтов с бизнес-целями и количественной оценкой ущерба, опираясь на DFD, библиотеки атак и abuse cases. Её часто выбирают крупные предприятия, которым нужен повторяемый и обоснованный процесс, согласованный с NIST, ISO 27005 и FAIR; PASTA хорошо сочетается с ASVS, MITRE ATT&CK и CAPEC.
● Примеры
- 01
Банк проводит воркшоп PASTA по платформе мобильных платежей, чтобы приоритизировать угрозы мошенничества по влиянию на выручку.
- 02
Использование шаблонов CAPEC на этапе 6 PASTA для перечисления реалистичных сценариев атаки на критичный API.
● Частые вопросы
Что такое Модель угроз PASTA?
Process for Attack Simulation and Threat Analysis — риск-ориентированная семиэтапная методология моделирования угроз, связывающая технические угрозы с бизнес-последствиями. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает Модель угроз PASTA?
Process for Attack Simulation and Threat Analysis — риск-ориентированная семиэтапная методология моделирования угроз, связывающая технические угрозы с бизнес-последствиями.
Как работает Модель угроз PASTA?
PASTA (Process for Attack Simulation and Threat Analysis) — риск-ориентированная методология моделирования угроз, разработанная Тони Уседа-Велесом и Марко Мораной. Она состоит из семи этапов: определение целей, определение технического scope, декомпозиция приложения, анализ угроз, анализ уязвимостей и слабостей, моделирование атак и анализ риска и последствий. PASTA подчёркивает связь технических угроз и эксплойтов с бизнес-целями и количественной оценкой ущерба, опираясь на DFD, библиотеки атак и abuse cases. Её часто выбирают крупные предприятия, которым нужен повторяемый и обоснованный процесс, согласованный с NIST, ISO 27005 и FAIR; PASTA хорошо сочетается с ASVS, MITRE ATT&CK и CAPEC.
Как защититься от Модель угроз PASTA?
Защита от Модель угроз PASTA обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Модель угроз PASTA?
Распространённые альтернативные названия: Process for Attack Simulation and Threat Analysis, PASTA.
● Связанные термины
- appsec№ 1150
Моделирование угроз
Структурированный анализ, выявляющий активы, угрозы, уязвимости и меры защиты системы, чтобы безопасность закладывалась в дизайн, а не добавлялась после.
- compliance№ 751
Метод OCTAVE
Методология оценки рисков информационной безопасности, разработанная Институтом программной инженерии CMU и сфокусированная на организационных и операционных рисках критичных активов.
- compliance№ 143
CAPEC
Common Attack Pattern Enumeration and Classification — поддерживаемый MITRE открытый каталог шаблонов атак, используемых противниками для эксплуатации известных слабостей.
- compliance№ 936
Управление рисками
Скоординированный процесс выявления, анализа, оценки, обработки, мониторинга и коммуникации рисков для удержания их в пределах установленной организацией толерантности.
- compliance№ 775
OWASP ASVS
OWASP Application Security Verification Standard — каталог проверяемых требований безопасности для проектирования, разработки и верификации веб-приложений и API.