Soru: Yazılım geliştirmede tehdit modelleme nasıl çalışır?
ThreatModeler’ın kurucusu ve CEO’su Archie Agarwal: Tehdit modelleme, potansiyel tehditleri belirleme ve bunları önlemek için harekete geçme sürecidir. Yeni bisikletimiz için daha iyi bir kilit satın almaktan cep telefonumuza bir PIN kodu koymaya kadar hepimiz bunu bir şekilde yapıyoruz.
Bisiklet asma kilit örneğinde, bisikletin değeri, çalınma olasılığı ve daha sağlam bir asma kilide yatırım yapmanın değeri konusunda bir belirleme yapılır. Bu tehdit modellemedir ve yazılım geliştirmede de farklı değildir. Tehdit ortamına bakarız, saldırı olasılığını, varlığın değerini ve kötü niyetli birinin izleyeceği yolu değerlendirir ve bunları engellemek için uygun bir kontrol uygularız.
Tehdit modelleme, yazılım geliştirme yaşam döngüsüne erken dahil edilmelidir. Ne yazık ki, birçok güvenlik uygulaması reaktiftir ve bunun yerine sonunda uygulanır. Tehdit modelleme, proaktif bir güvenlik uygulamasıdır ve güvenli tasarım girişiminin bir parçası olmalıdır. Aslında, tehdit modelleme, tasarımın güvenliğini sağlamanın birincil yoludur.
Erken tehdit modellemenin faydaları çoktur. Gerçeğin ardından güvenliği yeniden yapılandırmak, onu tasarımın içine sokmaktan ve baştan inşa etmekten çok daha zorlayıcı ve kaynak yoğundur. Tehdit modelleme, tek seferlik bir proje değil, geliştirme sürecinin yanında sürekli bir süreç olmalıdır.
Gerçek şu ki, tehdit modelleme bizim için doğal ve son derece sezgisel ve ulaşılabilir. Her yazılım geliştirme sürecinin bir parçası olmalıdır.