HOME > Detail View

Detail View

(개발자를 위한) 위협 모델링

Material type
단행본
Personal Author
Tarandach, Izar Coles, Matthew J., 저 김예솔, 역
Title Statement
(개발자를 위한) 위협 모델링 / 이자르 타란다쉬, 매튜 콜스 지음 ; 김예솔 옮김
Publication, Distribution, etc
서울 :   에이콘출판,   2023  
Physical Medium
278 p. : 삽화 ; 24 cm
Varied Title
Threat modeling : a practical guide for developing teams
ISBN
9791161756868
General Note
부록: A. 작업예제, B. 위협 모델링 선언문  
색인수록  
Subject Added Entry-Topical Term
Computer networks --Security measures Computer security
000 00000nam c2200205 c 4500
001 000046135752
005 20221205101938
007 ta
008 221202s2023 ulka 001a kor
020 ▼a 9791161756868 ▼g 93000
040 ▼a 211009 ▼c 211009 ▼d 211009
041 1 ▼a kor ▼h eng
082 0 4 ▼a 005.8 ▼2 23
085 ▼a 005.8 ▼2 DDCK
090 ▼a 005.8 ▼b 2023
100 1 ▼a Tarandach, Izar
245 2 0 ▼a (개발자를 위한) 위협 모델링 / ▼d 이자르 타란다쉬, ▼e 매튜 콜스 지음 ; ▼e 김예솔 옮김
246 1 9 ▼a Threat modeling : ▼b a practical guide for developing teams
260 ▼a 서울 : ▼b 에이콘출판, ▼c 2023
300 ▼a 278 p. : ▼b 삽화 ; ▼c 24 cm
500 ▼a 부록: A. 작업예제, B. 위협 모델링 선언문
500 ▼a 색인수록
650 0 ▼a Computer networks ▼x Security measures
650 0 ▼a Computer security
700 1 ▼a Coles, Matthew J., ▼e
700 1 ▼a 김예솔, ▼e
900 1 0 ▼a 타란다쉬, 이자르, ▼e
900 1 0 ▼a 콜스, 매튜, ▼e
945 ▼a ITMT

Holdings Information

No. Location Call Number Accession No. Availability Due Date Make a Reservation Service
No. 1 Location Science & Engineering Library/Sci-Info(Stacks1)/ Call Number 005.8 2023 Accession No. 121261298 Availability Available Due Date Make a Reservation Service B M
No. 2 Location Science & Engineering Library/Sci-Info(Stacks1)/ Call Number 005.8 2023 Accession No. 121261649 Availability Available Due Date Make a Reservation Service B M
No. 3 Location Science & Engineering Library/Sci-Info(Stacks1)/ Call Number 005.8 2023 Accession No. 121261866 Availability Available Due Date Make a Reservation Service B M

Contents information

Book Introduction

위협 모델링은 개발 수명 주기에서 가장 필수적이지만 가장 잘못 이해되고 있는 부분이기도 하다. 이 책은 위협으로부터 시스템을 보호하기 위해 보안 실무자 또는 개발 팀 구성원 모두에게 도움이 될 만한 핵심 위협 모델링 개념을 실무에 적용시키는 방법을 소개한다.

◈ 이 책에서 다루는 내용 ◈

◆ 데이터와 시스템 기능을 보호하기 위한 기본 속성 및 메커니즘 탐색
◆ 보안, 개인 정보 보호, 안전의 관계 이해
◆ 시스템 보안 평가를 위한 주요 특성 파악
◆ 시스템 모델링과 분석을 위한 일반적이고 특별한 기술 검토
◆ 데브옵스 자동화를 포함한 위협 모델링의 미래와 애자일 개발 방법론의 미래
◆ 일반적인 위협 모델링의 함정을 피하는 방법

◈ 이 책의 대상 독자 ◈

설계와 개발 프로세스, 출시된 시스템의 보안 태세를 높일 책임이 있는 시스템 개발 팀 구성원(개발자, 설계자, 디자이너, 테스터, 데브섹옵스)을 위한 책이다. 여기에는 제품 또는 IT 시스템을 설계, 구축, 유지 관리하는 사람도 포함된다.
위협 모델링을 아직 경험해 보지 않은 기존 보안 실무자에게도 유용하지만 특히 시스템 개발 팀을 염두에 두고 작성했다. 제품 관리자, 프로그램 관리자, 다른 기술자도 최소한 프로세스에서 자신의 가치를 이해하고 있어야 한다.

◈ 이 책의 구성 ◈

1장에서는 시스템 모델링 기술을 살펴보고 시스템 보안을 평가하는 데 중요한 주요 특성을 파악하는 방법을 설명한다.
2장과 3장에서는 시스템 개발 수명 주기의 활동으로서 위협 모델링의 개요를 설명하고, 시스템을 모델링하고 분석할 때 사용 가능한 일반적인 위협 모델링 기술을 설명한다.
2장 이후부터는 위협 모델링이 왜 중요한 활동인지 이미 알고 있는 상태에서 보안 설계의 원칙을 수행하는 전문 보안 실무자를 포함해 모든 독자에게 도움이 되는 내용을 담고 있다.
4장과 5장에서는 위협 모델링 방법론의 미래와 자동화, 데브옵스 자동화를 포함한 애자일 개발 방법론을 설명한다. 새롭고 흥미로운 방식의 위협 모델링을 수행하는 특별한 기술도 다룬다.
6장에서는 조직에서 위협 모델링 적용을 시작하려는 개발 팀으로부터 자주 듣는 질문을 설명한다. 일반적인 함정과 장애물을 피하는 방법을 위한 조언과 지침을 준다.
부록 A에서는 위협 시스템 모델을 구성하고 분석하고자 pytm을 사용한 예제를 제공한다.


Information Provided By: : Aladin

Author Introduction

이자르 타란다쉬(지은이)

브리지워터 어소시에이츠(Bridgewater Associates)의 수석 보안 설계자다. 이전에는 오토데스크(Autodesk)에서 수석 제품 보안 설계자로, 델(Dell) EMC에서 엔터프라이즈 하이브리드 클라우드 보안 설계자로 근무했으며, 델 EMC 제품 보안실에서 장기간 보안 고문을 담당했다. 세이프코드(SAFECode)의 핵심 멤버이자 IEEE 보안 설계 센터의 창립 멤버다. 보스턴 대학교에서 디지털 포렌식 강의를, 오리건 대학교에서 보안 개발 강의를 진행했다.

매튜 콜스(지은이)

제품 보안 프로그램의 리더이자 보안 설계자로서 15년 동안 EMC, 아날로그 디바이시스(Analog Devices), 보스(Bose)에서 제품 보안을 구축하고, 전세계 고객에게 맞춤형 지식을 제공했다. CWE/SANS Top 25 목록을 포함한 커뮤니티 보안 이니셔티브에 참여하고 있으며, 노스이스턴 대학교에서 소프트웨어 보안 강의를 진행했다.

김예솔(옮긴이)

정보보안회사에서 약 3년간 해외 고객을 대상으로 통합 보안 관리 시스템(ESM)의 기술지원을 담당했고, 현재는 게임회사에서 테크니컬 라이터로 영문 기술 문서 작성과 모바일 QA를 담당하고 있다. 에이콘출판사에서 펴낸 『Cuckoo 샌드박스를 활용한 악성코드 분석』(2014)과 『안드로이드 보안과 침투 테스팅』(2016)을 번역했다.

Information Provided By: : Aladin

Table of Contents

1장. 모델링 시스템
__시스템 모델을 만드는 이유
__시스템 모델링 유형
____데이터 흐름 다이어그램
____시퀀스 다이어그램
____프로세스 흐름 다이어그램
____공격 트리
____피시본 다이어그램
__시스템 모델을 구축하는 방법
__좋은 시스템은 무엇인가?
__요약

2장. 위협 모델링의 일반화된 접근 방식
__기본 단계
__시스템 모델에서 찾아야 하는 것
____상습범
____발견하기 어려운 것
__위협 인텔리전스 수집
__요약

3장. 위협 모델링 방법론
__들어가기 전에
__필터, 각도, 프리즘을 통해 살펴보기
__방법론을 향해!
____STRIDE
____STRIDE 개별 요소
____STRIDE 개별 상호작용
____공격 시뮬레이션과 위협 분석 프로세스?
____위협 평가와 개선 분석
____Trike
__전문화된 방법론
____LINDDUN
____광기? 이것이 스파르타다!
____INCLUDES NO DIRT
__게임을 해볼까?
____게임: 권한 상승
____게임: 권한 및 개인 정보의 승격
____OWASP 코르누코피아
____보안 및 개인 정보 위협 발견 카드
____게임: LINDDUN GO
__요약

4장. 위협 모델링 자동화
__위협 모델링을 자동화하는 이유
__코드로부터의 위협 모델링
____작동 원리
__코드를 사용한 위협 모델링
____작동 원리
____pytm
____스레자일
__기타 위협 모델링 툴의 개요
____IriusRisk
____SD Elements
____스레트모델러
____OWASP 스레트 드래곤
____마이크로소프트 스레트 모델링 툴
____CAIRIS
____모질라 시스펀지
____튜터먼 스레트 모델 오토메이터
__ML과 AI를 사용한 위협 모델링
__요약


5장. 지속적인 위협 모델링
__지속적인 위협 모델링이 필요한 이유
__지속적인 위협 모델링 방법론
__진화: 개선되고 있음
__오토데스크의 지속적인 위협 모델링 방법론
____베이스라인 설정
____베이스라인 분석
____충분히 했는지 언제 알 수 있는가?
____위협 모델의 모든 스토리
____현장에서 얻은 발견
__요약

6장. 위협 모델링 챔피언으로서의 역할
__경영진으로부터 위협 모델링의 지지를 얻으려면 어떻게 해야 하는가?
__제품 팀의 반대를 어떻게 극복하는가?
__위협 모델링에 실패했다는 느낌(또는 실제 실패했음)을 어떻게 극복하는가?
__여러 유사한 접근 방식에서 어떤 위협 모델링 방법론을 선택해야 하는가?
__‘안 좋은 소식’은 어떻게 전달하는가?
__승인된 결과는 어떤 조치를 취해야 하는가?
__뭔가 빠뜨린 게 있는가?
__요약 및 마무리
__참고 도서

부록 A 작업 예제
부록 B 위협 모델링 선언문

New Arrivals Books in Related Fields

Wong, David (2023)
Blandy, Jim (2023)