PASTA 威胁建模
PASTA 威胁建模 是什么?
PASTA 威胁建模Process for Attack Simulation and Threat Analysis,以风险为中心、七阶段的威胁建模方法,将技术威胁与业务影响对齐。
PASTA(Process for Attack Simulation and Threat Analysis)是 Tony UcedaVelez 与 Marco Morana 定义的以风险为中心的威胁建模方法。它由七个阶段组成:确定业务目标、确定技术范围、应用分解、威胁分析、脆弱性与弱点分析、攻击建模、风险与影响分析。PASTA 强调将技术威胁与业务目标及可量化的影响相联系,并借助数据流图、攻击库和滥用用例。大型企业常常选用 PASTA,以获得与 NIST、ISO 27005、FAIR 等对齐、可重复且可被审计的过程,同时它与 ASVS、MITRE ATT&CK 和 CAPEC 集成良好。
● 示例
- 01
银行对移动支付平台开展 PASTA 工作坊,按对收入的影响优先排序欺诈相关威胁。
- 02
在 PASTA 第六阶段使用 CAPEC 模式枚举针对关键 API 的真实攻击场景。
● 常见问题
PASTA 威胁建模 是什么?
Process for Attack Simulation and Threat Analysis,以风险为中心、七阶段的威胁建模方法,将技术威胁与业务影响对齐。 它属于网络安全的 合规与框架 分类。
PASTA 威胁建模 是什么意思?
Process for Attack Simulation and Threat Analysis,以风险为中心、七阶段的威胁建模方法,将技术威胁与业务影响对齐。
PASTA 威胁建模 是如何工作的?
PASTA(Process for Attack Simulation and Threat Analysis)是 Tony UcedaVelez 与 Marco Morana 定义的以风险为中心的威胁建模方法。它由七个阶段组成:确定业务目标、确定技术范围、应用分解、威胁分析、脆弱性与弱点分析、攻击建模、风险与影响分析。PASTA 强调将技术威胁与业务目标及可量化的影响相联系,并借助数据流图、攻击库和滥用用例。大型企业常常选用 PASTA,以获得与 NIST、ISO 27005、FAIR 等对齐、可重复且可被审计的过程,同时它与 ASVS、MITRE ATT&CK 和 CAPEC 集成良好。
如何防御 PASTA 威胁建模?
针对 PASTA 威胁建模 的防御通常结合技术控制与运营实践,详见上方完整定义。
PASTA 威胁建模 还有哪些其他名称?
常见的别称包括: 攻击模拟与威胁分析过程, PASTA。
● 相关术语
- appsec№ 1150
威胁建模
一种结构化分析方法,识别系统的资产、威胁、漏洞与缓解措施,从而在设计阶段构建安全,而不是事后弥补。
- compliance№ 751
OCTAVE 方法
由卡内基梅隆大学 SEI 提出的信息安全风险评估方法,聚焦关键资产层面的组织与运营风险。
- compliance№ 143
CAPEC
Common Attack Pattern Enumeration and Classification,由 MITRE 维护的公开攻击模式目录,描述攻击者用以利用已知弱点的常见手法。
- compliance№ 936
风险管理
对风险进行识别、分析、评估、处置、监控与沟通的协调过程,以将风险保持在组织既定的容忍度之内。
- compliance№ 775
OWASP ASVS
OWASP 应用安全验证标准,提供一套可测试的安全需求清单,用于设计、构建并验证 Web 应用与 API。