Quali sono i framework di threat modeling più comuni?

I framework più utilizzati sono STRIDE (sviluppato da Microsoft, categorizza le minacce in Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege), PASTA (metodologia centrata sul rischio in 7 fasi), LINDDUN (focalizzato sulle minacce alla privacy), VAST (Visual Agile Simple Threat modeling, scalabile per grandi organizzazioni) e alberi di attacco. STRIDE è il più popolare per lo sviluppo software, mentre PASTA è preferito per valutazioni focalizzate sul rischio.

Quando dovrebbe essere fatto il threat modeling nel ciclo di sviluppo?

Il threat modeling dovrebbe iniziare durante la fase di progettazione, prima che la codifica cominci. È quando vengono prese le decisioni architetturali e i cambiamenti sono meno costosi. Dovrebbe essere aggiornato ad ogni cambiamento significativo del design, prima dei rilasci importanti e durante le revisioni di sicurezza. Correggere una vulnerabilità in fase di progettazione costa 10-100 volte meno che correggerla in produzione.

Chi dovrebbe partecipare alle sessioni di threat modeling?

Un threat modeling efficace richiede prospettive diverse: sviluppatori (dettagli implementativi), architetti (design del sistema), ingegneri della sicurezza (tecniche di attacco), product manager (contesto aziendale e tolleranza al rischio), ingegneri QA (approcci di test) e personale operativo (deployment e comportamento runtime). Un facilitatore formato nella metodologia dovrebbe guidare sessioni di 3-7 partecipanti.

Come si crea un diagramma di flusso dati per il threat modeling?

Inizia identificando entità esterne (utenti, sistemi esterni), processi (componenti dell'applicazione), archivi dati (database, file system) e flussi di dati (connessioni tra elementi). Disegna i confini di fiducia per separare diversi livelli di privilegio. Etichetta ogni flusso con il tipo di dati e il protocollo utilizzato. Strumenti come Microsoft Threat Modeling Tool, OWASP Threat Dragon e draw.io possono aiutare nella creazione.

Cos'e il Threat Modeling? STRIDE e Best Practice

Perche e Importante

Il threat modeling sposta la sicurezza a sinistra nel ciclo di vita dello sviluppo identificando i rischi durante la progettazione, quando le modifiche sono piu economiche. Correggere un difetto di sicurezza in fase di progettazione costa una frazione di affrontarlo in produzione. Eppure molte organizzazioni saltano questa pratica, scoprendo vulnerabilita solo attraverso costosi penetration test o, peggio, violazioni reali.

La pratica forza il pensiero strutturato sulla sicurezza. Piuttosto che discussioni ad-hoc "cosa potrebbe andare storto?", il threat modeling fornisce framework per esaminare sistematicamente i sistemi, identificare le minacce e prioritizzare le mitigazioni. Questo rigore garantisce copertura completa e decisioni documentate.

Il threat modeling migliora anche la comunicazione tra team di sicurezza e sviluppatori. Diagrammi visivi e liste di minacce strutturate creano comprensione condivisa dei rischi. I team di sviluppo capiscono perche i controlli di sicurezza contano; i team di sicurezza capiscono i vincoli tecnici. Questa collaborazione produce risultati di sicurezza migliori rispetto a review di sicurezza adversariali.

Per i professionisti della sicurezza, le competenze di threat modeling abilitano impatto proattivo. Invece di trovare problemi dopo il fatto, aiuti a prevenirli by design. Questo contributo strategico distingue gli architetti di sicurezza e i professionisti senior.

Il Processo di Threat Modeling

Domande Core

Ogni threat model cerca di rispondere a quattro domande fondamentali:

Cosa stiamo costruendo? (Descrizione sistema)
Cosa puo andare storto? (Identificazione minacce)
Cosa faremo al riguardo? (Mitigazioni)
Abbiamo fatto un buon lavoro? (Validazione)

Processo Threat Modeling

Decomponi Sistema

Identifica Minacce

Valuta Minacce

Pianifica Mitigazioni

Valida

Decomposizione Sistema

Documenta il sistema prima di analizzare le minacce:

decomposizione-sistema.txt

Text


Elementi Decomposizione Sistema:

Diagramma Architettura:
- Componenti e loro funzioni
- Stack tecnologico
- Ambiente deployment

Data Flow Diagram (DFD):
- Entita esterne (utenti, sistemi esterni)
- Processi (componenti applicazione)
- Data store (database, file)
- Flussi dati tra elementi

Trust Boundary:
- Dove cambiano i livelli di fiducia
- Segmenti rete
- Confini autenticazione
- Transizioni privilegi

Asset:
- Dati sensibili gestiti
- Funzionalita di valore
- Operazioni business-critical

Framework di Identificazione Minacce

STRIDE

Il framework Microsoft categorizza le minacce per tipo:

framework-stride.txt

Text


Categorie STRIDE:

S - Spoofing Identity
  - Fingere di essere un altro utente o sistema
  - Mitigazioni: Autenticazione, certificati

T - Tampering with Data
  - Modificare dati in transito o a riposo
  - Mitigazioni: Controlli integrita, firma, crittografia

R - Repudiation
  - Negare che azioni siano state eseguite
  - Mitigazioni: Logging, firme digitali, audit trail

I - Information Disclosure
  - Esporre dati a parti non autorizzate
  - Mitigazioni: Crittografia, controlli accesso, classificazione dati

D - Denial of Service
  - Rendere il sistema non disponibile
  - Mitigazioni: Rate limiting, ridondanza, limiti risorse

E - Elevation of Privilege
  - Ottenere accesso o permessi non autorizzati
  - Mitigazioni: Minimo privilegio, validazione input, sandboxing

Applicare STRIDE:

Esamina ogni elemento nel data flow diagram
Considera ogni categoria STRIDE per quell'elemento
Documenta le minacce applicabili

PASTA (Process for Attack Simulation and Threat Analysis)

Metodologia risk-centric a sette stadi:

framework-pasta.txt

Text


Stadi PASTA:

1. Definire Obiettivi Business
 - Goal e priorita business
 - Requisiti compliance
 - Tolleranza al rischio

2. Definire Scope Tecnico
 - Confini sistema
 - Componenti e dipendenze
 - Stack tecnologico

3. Decomposizione Applicazione
 - Data flow diagram
 - Trust boundary
 - Entry point

4. Analisi Minacce
 - Threat intelligence
 - Pattern attacco
 - Vulnerabilita rilevanti

5. Analisi Vulnerabilita
 - Debolezze sicurezza
 - Difetti design
 - Problemi implementazione

6. Attack Modeling
 - Attack tree
 - Scenari sfruttamento
 - Analisi kill chain

7. Analisi Rischio e Impatto
 - Business impact assessment
 - Prioritizzazione rischio
 - Raccomandazioni mitigazione

DREAD (Modello di Scoring)

Framework di rating del rischio per prioritizzare le minacce:

Fattore	Domanda
Damage	Quanto e grave il danno?
Reproducibility	Quanto e facile riprodurre?
Exploitability	Quanto e facile sfruttare?
Affected Users	Quanti utenti impattati?
Discoverability	Quanto e facile scoprire?

Assegna punteggio 1-10 a ogni fattore, somma per rating rischio complessivo.

Threat Modeling Pratico

Formato Workshop

formato-workshop.txt

Text


Workshop Threat Modeling (2-3 ore):

Partecipanti:
- Lead team sviluppo
- Rappresentante sicurezza
- Architetto/tech lead
- Opzionale: Product owner

Preparazione (prima del meeting):
- Diagrammi architettura pronti
- Contesto sistema documentato
- Sensibilita dati identificata

Flusso Sessione:

1. Impostazione Contesto (15 min)
 - Panoramica sistema
 - Valore business
 - Requisiti sicurezza

2. Review Diagrammi (30 min)
 - Walk through architettura
 - Valida flussi dati
 - Identifica trust boundary

3. Identificazione Minacce (60 min)
 - Applica STRIDE a ogni elemento
 - Brainstorm scenari attacco
 - Documenta tutte le potenziali minacce

4. Prioritizzazione (30 min)
 - Valuta severita minacce
 - Considera probabilita
 - Identifica top concern

5. Pianificazione Mitigazione (30 min)
 - Discuti contromisure
 - Assegna action item
 - Documenta decisioni

Rilevanza per la Carriera

Le competenze di threat modeling dimostrano pensiero architetturale di sicurezza. La pratica appare nei ruoli di security architect, posizioni application security e responsabilita engineering senior.

Ruoli che Usano Threat Modeling (Mercato US)

Role	Entry Level	Mid Level	Senior
Application Security Engineer	90.000 USD	120.000 USD	160.000 USD
Security Architect	115.000 USD	145.000 USD	190.000 USD
Product Security Engineer	100.000 USD	135.000 USD	175.000 USD

Source: CyberSeek

Nel Bootcamp

Come Insegniamo Threat Modeling

Nel nostro Programma di Cybersecurity, non imparerai solo la teoria su Threat Modeling. Praticherai con strumenti reali in laboratori pratici, guidato da professionisti del settore che usano questi concetti quotidianamente.

Trattato in:

Modulo 8: Operazioni di Sicurezza Avanzate

Argomenti correlati che padroneggerai:Risposta agli IncidentiDFIRThreat HuntingVolatility

Scopri Come Lo Insegniamo

360+ ore di formazione guidata da esperti. 94% tasso di occupazione

Blog

Guide alla Carriera

Glossario

Certificazioni

Confronti

Strumenti

Autori

Formazione Aziendale

Assumi i Nostri Talenti

Threat Modeling

Perche e Importante

Il Processo di Threat Modeling

Domande Core

Decomposizione Sistema

Framework di Identificazione Minacce

STRIDE

PASTA (Process for Attack Simulation and Threat Analysis)

DREAD (Modello di Scoring)

Threat Modeling Pratico

Formato Workshop

Rilevanza per la Carriera

Ruoli che Usano Threat Modeling (Mercato US)

Come Insegniamo Threat Modeling