რა არის საფრთხის მოდელირება?

Question

Accepted Answer

**საფრთხის მოდელირება** არის სტრუქტურირებული პროცესი, რომელიც განკუთვნილია სისტემის მიმართ შესაძლო **უსაფრთხოების საფრთხეების** იდენტიფიცირებისა და თავდაცვის დაგეგმვისთვის — სისტემატური ფიქრი იმის შესახებ, თუ რა შეიძლება აღმოჩნდეს არასწორი, ვინ შეიძლება შეტიოს და როგორ. ეს არის პროაქტიული მიდგომა უსაფრთხოებაში, რომელიც განხორციელდება დიზაინის ფაზაში.

## რა არის საფრთხის მოდელირება

```text
Threat modeling = systematically analyzing a system to find SECURITY THREATS and decide
how to mitigate them — BEFORE building (or as a review):
  → understand the system (data flows, components, trust boundaries, assets)
  → identify THREATS (what could an attacker do? where are the weak points?)
  → assess and prioritize risks; plan MITIGATIONS
→ proactive security: design defenses by thinking like an attacker, early.
```

## გავრცელებული მიდგომა (და STRIDE)

```text
Typical questions:
  1. What are we building? (diagram the system, data flows, trust boundaries)
  2. What can go wrong? (identify threats)
  3. What do we do about it? (mitigations)
  4. Did we do a good job? (review)
STRIDE → a framework for categorizing threats:
  Spoofing, Tampering, Repudiation, Information disclosure, Denial of service,
  Elevation of privilege
→ helps systematically consider threat types per component/data flow.
```

## რატომ და როდის

```text
✓ PROACTIVE → find/address security issues at DESIGN time (cheaper than after a breach)
✓ Focuses security effort on real RISKS (the most important threats to the system)
✓ Especially valuable for sensitive/critical systems and significant new features
✓ Part of "security by design" / shift-left → build security in, not bolt on
→ A structured way to think about and improve a system's security posture.
```

## რატომ არის მნიშვნელოვანი

საფრთხის მოდელირების გაცნობა ღირებული უფროსი დონის ცოდნაა, რადგან ეს არის **პროაქტიული, სტრუქტურირებული მიდგომა უსაფრთხოებაში**, რომელიც იპოვის და აჯამებს საფრთხეებს დიზაინის დროს, ამიტომ ეს მნიშვნელოვანია უსაფრთხო სისტემების შეგნებულად აგებისთვის.

საფრთხის მოდელირება — **სისტემის სისტემატური ანალიზი უსაფრთხოების საფრთხეების იდენტიფიცირებისა და გამოსწორებების დაგეგმვის მიზნით**, სისტემის გაგების (მონაცემთა ნაკადები, კომპონენტები, ნდობის საზღვრები, აქტივები), იმის იდენტიფიცირება თუ რა შეიძლება აღმოჩნდეს არასწორი, და განსაზღვრა თუ როგორ დავიცვა თავი — წარმოადგენს პროაქტიულ, დიზაინის ფაზის მიდგომას უსაფრთხოებაში (თავდამსხმელის მსგავსად ფიქრი ადრე, ვიდრე რეაგირება დარტყმებზე).

გავრცელებული მიდგომის გაცნობა (კითხვები: რა ვაგებთ, რა შეიძლება აღმოჩნდეს არასწორი, რა უნდა გავაკეთოთ, კარგად გავაკეთეთ თუ არა — სისტემის დიაგრამირება და საფრთხეების იდენტიფიცირება) და ჩარჩოები როგორიცაა **STRIDE** (საფრთხეების კატეგორიზაცია როგორც Spoofing, Tampering, Repudiation, Information disclosure, Denial of service და Elevation of privilege — რაც ეხმარება სისტემატურად განვიხილოთ საფრთხეების ტიპები) უზრუნველყოფს სტრუქტურას ეფექტიანი განხორციელებისთვის, ვიდრე ad-hoc მიდგომა.

იმის გაცნობა **რატომ და როდის** არის ღირებული საფრთხის მოდელირება — პროაქტიული იყო (დიზაინის დროს საკითხების პოვნა და აჯამება, ბევრად იაფი ვიდრე დარტყმის შემდეგ), უსაფრთხოების প্রচেষ্টის კონცენტრაცია რეალურ, ყველაზე მნიშვნელოვან რისკებზე, განსაკუთრებით ღირებული სენსიტიური/კრიტიკული სისტემებისა და მნიშვნელოვანი ფিচারებისთვის, და **უსაფრთხოება დიზაინით / shift-left** (უსაფრთხოების აშენება ვიდრე მის დამატება) — ასახავს მომწიფებული უსაფრთხოების ფიქრს.

საფრთხის მოდელირება არის ის, როგორც აზროვნელი გუნდები სისტემატურად ვამჯობინებთ მათ უსაფრთხოების პოზიციას დიზაინის დროს, აჯამებთ საფრთხეებს რათა ისინი ხელმისაწვდომი არ გახდეს.

რადგან პროაქტიული, დიზაინის ფაზის უსაფრთხოება (საფრთხეების ძებნა და აჯამება აგებამდე) უფრო ეფექტიანი და იაფი იყო, ვიდრე რეაქციული უსაფრთხოება, და რადგან საფრთხის მოდელირება უზრუნველყოფს სტრუქტურირებულ გზას ამისთვის (სისტემატურად საფრთხეების და გამოსწორებების იდენტიფიცირება, ჩარჩოების გამოყენება როგორიცაა STRIDE), და რადგან მისი გაგება ასახავს მომწიფებული უსაფრთხოების პრაქტიკას, საფრთხის მოდელირების გაცნობა ღირებული უფროსი დონის ცოდნაა — მნიშვნელოვანი პროაქტიული უსაფრთხოების პრაქტიკა უსაფრთხო სისტემების შეგნებულად აგებისთვის, უსაფრთხოება-დიზაინის გამხელი, და ასახავს სტრუქტურირებულ, თავდამსხმელის მსგავს უსაფრთხოების ფიქრს, რომელიც მოითხოვება უფროსი როლებისთვის, რომლებიც დიზაინდებენ და გამოიმუშავებენ სისტემებს უსაფრთხოების მიზნით.