CYBERSÄKERHET GRUNDER OCH MEDVETENHET

Kursinformation

Kursmaterial

Vanliga frågor

Kursmaterial

/

Kapitel

Hotmodellering med OWASP Threat Dragon

Intro

Installera Threat Dragon

Första steget för att kunna göra inlämningsuppgiften är att själv installera programmet Threat Dragon. Programmet kan installeras på Windows, Mac och Linux. För den som är registrerad på kursen finns möjlighet att använda LiUs datormiljöer, men det är nog enklare att installera på sin egen dator. Alternativt kan man köra Threat Dragon på webben.

Detaljerade instruktioner (för Windows)

  1. Ladda ner installationsfilen.
  2. Du kan behöva tala om för webbläsaren att detta inte är en skadlig fil. Men binären är signerad så ska inte vara några problem att köra.
  3. Kör den nedladdade filen vilket installerar programmet på din dator.
  4. Starta programmet.

Threat Dragon på webben

De som vill kan köra Threat Dragon på webben. Klicka på “Login with Local Session” så behövs inget github-konto. Observera att med denna metod finns viss risk att osparade ändringar försvinner (tex om du laddar om sidan), så se till att spara ofta.

Komponenter

Gör följande förberedelser.

  • Threat Dragon utgår ifrån en systemmodell baserad på dataflödesdiagram (DFD). Läs därför wikipediasidan om DFD.
  • Återbesök avsnittet om hotmodeller i kapitel 4 och läsanvisningarna där.
  • Läs dokumentationen för Threat Dragon, speciellt avsnitten ‘Getting Started’, ‘Thread model diagrams’, och ‘Threat generation’.
  • Läs gärna också OWASP Threat Modeling Cheat Sheet, denna kan vara bra att återkomma till när du senare ska göra uppgiften.

Vilka av följande komponenter/begrepp kan modelleras i Threat Dragon?

Demo-modellen

Öppna den medföljande demo-modellen i Threat Dragon (Explore a sample model -> Version 2 Demo Model) och se hur de olika komponenterna används i praktiken. Notera speciellt hur ‘trust boundaries’ används. Områden som inte separeras av en trust boundary kan anses ha samma säkerhetsnivå och de olika komponenterna litar på varandra.

Exportera modellen och hoten som en PDF.

Denna webbsida innehåller kursmaterial för kursen ETE352 Cybersäkerhet - grunder och medvetenhet.
Innehållet är tillgängligt enligt licensen Creative Commons Attribution 4.0 International.
Copyright © 2021, Mikael Asplund