ਥ੍ਰੈਟ ਮਾਡਲਿੰਗ ਕੀ ਹੈ?

Question

Accepted Answer

**ਥ੍ਰੈਟ ਮਾਡਲਿੰਗ** ਇੱਕ ਸੰਗਠਿਤ ਪ੍ਰਕਿਰਿਆ ਹੈ ਜੋ ਸਿਸਟਮ ਦੇ ਸੰਭਾਵੀ **ਸੁਰੱਖਿਆ ਖਤਰਿਆਂ** ਦੀ ਪਛਾਣ ਕਰਦੀ ਹੈ ਅਤੇ ਬਚਾਅ ਦੀ ਯੋਜਨਾ ਬਣਾਉਂਦੀ ਹੈ — ਯੋਜਨਾਬੱਧੀ ਢੰਗ ਨਾਲ ਸੋਚਣਾ ਕਿ ਕੀ ਗਲਤ ਹੋ ਸਕਦਾ ਹੈ, ਕੌਣ ਹਮਲਾ ਕਰ ਸਕਦਾ ਹੈ, ਅਤੇ ਕਿਵੇਂ। ਇਹ ਸੁਰੱਖਿਆ ਲਈ ਇੱਕ ਸਕਾਰਾਤਮਕ ਤਰੀਕਾ ਹੈ, ਜੋ ਡਿਜ਼ਾਇਨ ਦੌਰਾਨ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

## ਥ੍ਰੈਟ ਮਾਡਲਿੰਗ ਕੀ ਹੈ

```text
Threat modeling = systematically analyzing a system to find SECURITY THREATS and decide
how to mitigate them — BEFORE building (or as a review):
  → understand the system (data flows, components, trust boundaries, assets)
  → identify THREATS (what could an attacker do? where are the weak points?)
  → assess and prioritize risks; plan MITIGATIONS
→ proactive security: design defenses by thinking like an attacker, early.
```

## ਆਮ ਪਹੁੰਚ (ਅਤੇ STRIDE)

```text
Typical questions:
  1. What are we building? (diagram the system, data flows, trust boundaries)
  2. What can go wrong? (identify threats)
  3. What do we do about it? (mitigations)
  4. Did we do a good job? (review)
STRIDE → a framework for categorizing threats:
  Spoofing, Tampering, Repudiation, Information disclosure, Denial of service,
  Elevation of privilege
→ helps systematically consider threat types per component/data flow.
```

## ਕਿਉਂ ਅਤੇ ਕਦੋਂ

```text
✓ PROACTIVE → find/address security issues at DESIGN time (cheaper than after a breach)
✓ Focuses security effort on real RISKS (the most important threats to the system)
✓ Especially valuable for sensitive/critical systems and significant new features
✓ Part of "security by design" / shift-left → build security in, not bolt on
→ A structured way to think about and improve a system's security posture.
```

## ਇਹ ਮਾਇਨੇ ਰੱਖਦਾ ਹੈ

ਥ੍ਰੈਟ ਮਾਡਲਿੰਗ ਨੂੰ ਸਮਝਣਾ ਸੀਨਿਅਰ-ਪੱਧਰ ਦਾ ਮੁੱਲਵਾਨ ਗਿਆਨ ਹੈ ਕਿਉਂਕਿ ਇਹ **ਇੱਕ ਸਕਾਰਾਤਮਕ, ਸੰਗਠਿਤ ਸੁਰੱਖਿਆ ਪਹੁੰਚ** ਹੈ ਜੋ ਡਿਜ਼ਾਇਨ ਸਮੇਂ ਹੀ ਖਤਰਿਆਂ ਨੂੰ ਲੱਭਦੀ ਹੈ ਅਤੇ ਉਨ੍ਹਾਂ ਨੂੰ ਹੱਲ ਕਰਦੀ ਹੈ, ਇਸ ਲਈ ਇਹ ਸੁਰਖਅਤ ਸਿਸਟਮ ਬਣਾਉਣ ਲਈ ਮਹੱਤਵਪੂਰਨ ਹੈ।

ਥ੍ਰੈਟ ਮਾਡਲਿੰਗ — **ਸਿਸਟਮ ਦਾ ਯੋਜਨਾਬੱਧੀ ਢੰਗ ਨਾਲ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਕੇ ਸੁਰੱਖਿਆ ਖਤਰਿਆਂ ਦੀ ਪਛਾਣ ਕਰਨਾ ਅਤੇ ਸੁਧਾਰਾਂ ਦੀ ਯੋਜਨਾ ਬਣਾਨਾ**, ਸਿਸਟਮ ਨੂੰ ਸਮਝ ਕੇ (ਡੇਟਾ ਵਹਾਅ, ਭਾਗ, ਭਰੋਸੇ ਦੀਆਂ ਹੱਦਾਂ, ਮੂਲਧਨ), ਪਛਾਣ ਕਰਕੇ ਕਿ ਕੀ ਗਲਤ ਹੋ ਸਕਦਾ ਹੈ, ਅਤੇ ਫੈਸਲਾ ਕਰਕੇ ਕਿ ਕਿਵੇਂ ਬਚਾਅ ਕਰਨਾ ਹੈ — ਇੱਕ ਸਕਾਰਾਤਮਕ, ਡਿਜ਼ਾਇਨ-ਸਮੇਂ ਸੁਰੱਖਿਆ ਪਹੁੰਚ ਹੈ (ਅੱਗੇ ਹੀ ਹਮਲਾਵਰ ਵਾਂਗ ਸੋਚਣਾ, ਲੰਘਣ ਅਤੇ ਖਤਰਿਆਂ ਦਾ ਪ੍ਰਤੀਕਰਮ ਕਰਨਾ)।

**ਆਮ ਪਹੁੰਚ** ਨੂੰ ਸਮਝਣਾ (ਸਵਾਲ: ਅਸੀਂ ਕੀ ਬਣਾ ਰਹੇ ਹਾਂ, ਕੀ ਗਲਤ ਹੋ ਸਕਦਾ ਹੈ, ਅਸੀਂ ਇਸ ਬਾਰੇ ਕੀ ਕਰਦੇ ਹਾਂ, ਕੀ ਅਸੀਂ ਵਧੀਆ ਢੰਗ ਨਾਲ ਕਰਿਆ — ਸਿਸਟਮ ਦੀ ਡਾਇਆਗ੍ਰਾਮਿੰਗ ਅਤੇ ਖਤਰਿਆਂ ਦੀ ਪਛਾਣ) ਅਤੇ **STRIDE** ਵਰਗੀਆਂ ਫ੍ਰੇਮਵਰਕਾਂ (ਖਤਰਿਆਂ ਨੂੰ ਸੋਫਿੰਗ, ਤਬਦੀਲੀ, ਨਿਪਟਾਰਾ, ਸੂਚਨਾ ਦਾ ਖੁਲਾਸਾ, ਸੇਵਾ ਤੋਂ ਇਨਕਾਰ, ਅਤੇ ਸਥਿਤੀ ਦੀ ਉਚਾਈ ਵਿੱਚ ਵਰਗੀਕਰਨ — ਯੋਜਨਾਬੱਧੀ ਢੰਗ ਨਾਲ ਖਤਰਿਆਂ ਦੀ ਕਿਸਮਾਂ ਦੇ ਬਾਰੇ ਸੋਚਣ ਵਿੱਚ ਮਦਦ) ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ ਇਸ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਕਰਨ ਲਈ ਸੰਰਚਨਾ، ਬਜਾਏ ਐਡਹੌਕ।

**ਕਿਉਂ ਅਤੇ ਕਦੋਂ** ਥ੍ਰੈਟ ਮਾਡਲਿੰਗ ਮੁੱਲਵਾਨ ਹੈ, ਇਸ ਨੂੰ ਸਮਝਣਾ — ਸਕਾਰਾਤਮਕ (ਡਿਜ਼ਾਇਨ ਸਮੇਂ ਹੀ ਮੁੱਦਿਆਂ ਨੂੰ ਲੱਭਣਾ ਅਤੇ ਹੱਲ ਕਰਨਾ, ਉਪਦਰਵ ਦੇ ਬਾਅਦ ਨਾਲੋਂ ਬਹੁਤ ਸਸਤਾ), ਸੁਰੱਖਿਆ ਦੀ ਕੋਸ਼ਿਸ਼ ਨੂੰ ਅਸਲ, ਸਭ ਤੋਂ ਮਹੱਤਵਪੂਰਨ ਜੋਖਮਾਂ 'ਤੇ ਕੇਂਦ੍ਰਤ ਕਰਨਾ, ਖਾਸ ਤੌਰ 'ਤੇ ਸੰਵੇਦਨਸ਼ੀਲ/ਗੰਭੀਰ ਸਿਸਟਮਾਂ ਅਤੇ ਮਹੱਤਵਪੂਰਨ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਲਈ ਮੁੱਲਵਾਨ, ਅਤੇ **ਸੁਰੱਖਿਆ ਦ੍ਵਾਰਾ ਡਿਜ਼ਾਇਨ / ਸ਼ਿਫਟ-ਲੈਫਟ** ਮੂਰਤੀ (ਸੁਰੱਖਿਆ ਨੂੰ ਬਿਲਟ-ਇਨ ਕਰਨਾ ਬਜਾਏ ਇਸ ਦੇ ਨਾਲ ਬੋਲਟ ਕਰਨਾ) — ਪਰਿਪੱਕ ਸੁਰੱਖਿਆ ਸੋਚ ਨੂੰ ਪ੍ਰਤਿਬਿੰਬਿਤ ਕਰਦਾ ਹੈ।

ਥ੍ਰੈਟ ਮਾਡਲਿੰਗ ਉਹ ਤਰੀਕਾ ਹੈ ਜਿਸ ਨਾਲ ਵਿਚਾਰਸ਼ੀਲ ਟੀਮਾਂ ਡਿਜ਼ਾਇਨ ਦੌਰਾਨ ਯੋਜਨਾਬੱਧੀ ਢੰਗ ਨਾਲ ਆਪਣੀ ਸੁਰੱਖਿਆ ਸਥਿਤੀ ਨੂੰ ਬਿਹਤਰ ਬਣਾਉਂਦੀਆਂ ਹਨ, ਜੋ ਵਿਧਾਂ ਬਣਨ ਤੋਂ ਪਹਿਲੇ ਖਤਰਿਆਂ ਨੂੰ ਰੱਦ ਕਰਦੀਆਂ ਹਨ।

ਕਿਉਂਕਿ ਸਕਾਰਾਤਮਕ, ਡਿਜ਼ਾਇਨ-ਸਮੇਂ ਸੁਰੱਖਿਆ (ਬਿਲਡ ਕਰਨ ਤੋਂ ਪਹਿਲੇ ਖਤਰਿਆਂ ਨੂੰ ਲੱਭਣਾ ਅਤੇ ਰੱਦ ਕਰਨਾ) ਪ੍ਰਤੀਕਰਮ ਸੁਰੱਖਿਆ ਨਾਲੋਂ ਵਧੇਰੇ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਅਤੇ ਸਸਤਾ ਹੈ, ਅਤੇ ਕਿਉਂਕਿ ਥ੍ਰੈਟ ਮਾਡਲਿੰਗ ਇਸ ਨੂੰ ਕਰਨ ਲਈ ਇੱਕ ਸੰਗਠਿਤ ਤਰੀਕਾ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ (ਯੋਜਨਾਬੱਧੀ ਢੰਗ ਨਾਲ ਖਤਰਿਆਂ ਅਤੇ ਸੁਧਾਰਾਂ ਦੀ ਪਛਾਣ ਕਰਨਾ, STRIDE ਵਰਗੀਆਂ ਫ੍ਰੇਮਵਰਕਾਂ ਦੀ ਵਰਤੋਂ), ਅਤੇ ਕਿਉਂਕਿ ਇਸ ਨੂੰ ਸਮਝਣਾ ਪਰਿਪੱਕ ਸੁਰੱਖਿਆ ਅਭਿਆਸ ਨੂੰ ਪ੍ਰਤਿਬਿੰਬਿਤ ਕਰਦਾ ਹੈ, ਥ੍ਰੈਟ ਮਾਡਲਿੰਗ ਨੂੰ ਸਮਝਣਾ ਸੀਨਿਅਰ-ਪੱਧਰ ਦਾ ਮੁੱਲਵਾਨ ਗਿਆਨ ਹੈ — ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਸਕਾਰਾਤਮਕ ਸੁਰੱਖਿਆ ਅਭਿਆਸ ਸੁਰਖਅਤ ਸਿਸਟਮ ਨਿਰਮਾਣ ਲਈ ਵਿਚਾਰਸ਼ੀਲ ਅੰਦਾਜ਼ੇ ਵਿੱਚ, ਸੁਰੱਖਿਆ-ਦ੍ਵਾਰਾ-ਡਿਜ਼ਾਇਨ ਨੂੰ ਮੂਰਤੀ ਬਣਾ ਕੇ, ਅਤੇ ਸੀਨਿਅਰ ਭੂਮਿਕਾਵਾਂ ਲਈ ਉਮੀਦ ਕੀਤੀ ਜਾਣ ਵਾਲੀ ਸੰਗਠਿਤ, ਹਮਲਾਵਰ-ਮਾਈਥਰਡ ਸੁਰੱਖਿਆ ਸੋਚ ਨੂੰ ਪ੍ਰਤਿਬਿੰਬਿਤ ਕਰਕੇ ਜੋ ਸਿਸਟਮਾਂ ਨੂੰ ਡਿਜ਼ਾਇਨ ਅਤੇ ਸਮੀਖਿਆ ਕਰਦੇ ਹਨ।