Done
- Some materials in general channel:
- Threat modeling materials:
- Missing Semester of your CS Education (MIT)
Question
- Threat Modeling Manifesto: khá trừu tượng, không thể nắm được ý chính.
- Quy trình threat modeling ở những tổ chức khác nhau là khác nhau? Chẳng hạn như ở Know Your Enemy - An Introduction to Threat Modeling thì không có bước resolving threat hay verification còn ở Threat Modeling Phases (Course của Microsoft) thì lại có hai bước đó.
- Trong Know Your Enemy - An Introduction to Threat Modeling có đề cập đến việc biết được thông tin về adversaries thì sẽ giảm chi phí và thời gian để bảo mật hệ thống. Tuy nhiên khi xây dựng một hệ thống mới, công ty/tổ chức chưa có adversaries hoặc là chưa bị hack thì làm sao biết cần phải bảo vệ cái gì và bảo vệ khỏi ai?
Todo
- Threat Modeling Manifesto
- Tiếp tục học Threat Modeling Security Fundamentals và Missing Semester of your CS Education
- Phân biệt threat và vulnerability, privacy và security.
- Tìm hiểu về các hướng nghiên cứu, chọn một hướng và tìm các phương pháp cho hướng đó.