{"id":519,"date":"2021-06-28T11:07:28","date_gmt":"2021-06-28T09:07:28","guid":{"rendered":"https:\/\/labzise.noblogs.org\/?p=519"},"modified":"2021-06-28T15:22:03","modified_gmt":"2021-06-28T13:22:03","slug":"threat-modeling-workshop","status":"publish","type":"post","link":"https:\/\/labzise.noblogs.org\/?p=519","title":{"rendered":"Threat Modeling workshop"},"content":{"rendered":"<p><strong>Cos\u2019\u00e8 il threat modeling<\/strong><br \/>\n\u00c8 un processo con cui identificare potenziali minacce e vulnerabilit\u00e0, valutare quanto sono serie\/probabili nel caso specifico, metterle in una scala di priorit\u00e0, e ridurre il rischio che si avverino prendendo delle contromisure. In genere lo si fa per sistemi\/software\/prodotti, e al riguardo c\u2019\u00e8 una discreta letteratura in materia (ad esempio, <a href=\"https:\/\/duckduckgo.com\/?q=adam%20shostack%20threat%20modeling&amp;kg=p&amp;atb=v41-1\" target=\"_blank\" rel=\"noopener\">Threat Modeling: Designing for Security<\/a> di Adam Shostack, un manuale fondamentale, e piuttosto tecnico, rivolto soprattutto a sviluppatori ecc).<br \/>\nMa lo si pu\u00f2 applicare anche a organizzazioni e persone, sebbene qui la disciplina sia meno sistematizzata e nel caso delle persone tenda a sovrapporsi alle misure per mettere in sicurezza le proprie attivit\u00e0 online (denominate operation security o opsec).<\/p>\n<p><strong>Qui in particolare ci interessa l\u2019applicazione alle persone<\/strong>. In questa accezione, tutti noi gi\u00e0 facciamo threat modeling (le donne poi lo fanno tantissimo). Quando valutiamo che via prendere per tornare la sera, quanto \u00e8 sicura, quanto ci espone tornare a piedi da soli, che mezzi abbiamo eventualmente per evitare (o difenderci da) una aggressione. <strong>Questo \u00e8 threat modeling di strada.<br \/>\nSiamo invece meno abituati ad applicarlo nella nostra vita digitale. <\/strong>Eppure imparare a farlo aiuta molto di pi\u00f9 della solita lista di consigli, che finiscono con l\u2019essere indicazioni generiche e inascoltate. Il threat modeling invece \u00e8 alla base di una cultura della sicurezza, anche individuale.<br \/>\n<strong>Dunque proviamo a fare un esercizio assieme. Partiamo dal grafico sottostante.<\/strong><\/p>\n<p>&nbsp;<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/cdn.substack.com\/image\/fetch\/w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep\/https%3A%2F%2Fbucketeer-e05bbc84-baa3-437e-9518-adb32be77984.s3.amazonaws.com%2Fpublic%2Fimages%2F36c58d6f-422f-4f78-9000-ad6214a11e55_2096x1774.png\" alt=\"\" data-attrs=\"{&quot;src&quot;:&quot;https:\/\/bucketeer-e05bbc84-baa3-437e-9518-adb32be77984.s3.amazonaws.com\/public\/images\/36c58d6f-422f-4f78-9000-ad6214a11e55_2096x1774.png&quot;,&quot;height&quot;:1232,&quot;width&quot;:1456,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:184291,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image\/png&quot;,&quot;href&quot;:null}\" \/><\/p>\n<p>Potremmo considerarlo <strong>un frammento di una attivit\u00e0 di threat modeling per una persona.<\/strong> Un frammento (semplificato qua al massimo) che parte da uno dei suoi asset pi\u00f9 importanti, la mail (ho preso per comodit\u00e0 Gmail, vista la sua diffusione).<br \/>\nNel grafico troverete che ogni freccia indica un percorso (o un pezzetto di percorso) per accedere alla vostra casella Gmail. Ovvero YOU (TU) detentore dell\u2019account ci accedi di solito usando un pc, uno smartphone e un tablet (almeno nella nostra simulazione). Ognuno di questi usa a sua volta una app o un browser (e una connessione, ad esempio un punto d\u2019accesso Wi-Fi). Che si connette a Gmail.<br \/>\nMa anche Google pu\u00f2 accedere a Gmail (che lo faccia o meno non importa, interessa la possibilit\u00e0 per ora).<br \/>\nE anche un attaccante che abbia le credenziali (semplificate qui con password).<br \/>\nE anche un attaccante che non abbia le nostre credenziali ma riesca a infilarsi nel nostro percorso per accedere a Gmail (ad esempio, usando uno dei nostri apparecchi o software. Anche qua il termine usare \u00e8 volutamente vago: si va dall\u2019infezione con un trojan veicolata navigando col browser su un sito malevolo a qualcuno che acceda fisicamente al nostro tablet incustodito). Ma l\u2019attacco potrebbe anche essere direttamente contro di noi: qualcuno che ci prenda il telefono di mano fisicamente; o ci inganni con una operazione di social engineering per farsi consegnare la password; o ci minacci fisicamente per avere la password.<\/p>\n<p><strong> Ora il threat modeling sar\u00e0:<\/strong><br \/>\n&#8211; fare una lista delle possibilit\u00e0 di attacco\/vulnerabilit\u00e0 dato questo schema che contempla i modi in cui noi o altri accediamo al nostro Gmail;<br \/>\n&#8211; valutare quelli che per noi sono gli attacchi\/vulnerabilit\u00e0 pi\u00f9 probabili, scartare quelli improbabili o comunque quasi impossibili da rimediare, e su tutti gli altri applicare dei rimedi &#8211; in gergo si dice che applichiamo dei controlli, ovvero delle contromisure contro questi attacchi, e le contromisure possono essere tecniche (ad esempio, cifratura) o procedurali (non rivelo la password a uno al telefono che si finge MrBigGoogle, ogni riferimento a Carrie \u00e8 puramente casuale).<\/p>\n<p>Detto altrimenti (usando l\u2019aiuto da casa di Andrew Lee-Thorp in questa <a href=\"https:\/\/www.youtube.com\/watch?v=Xgrq4fBBvCc\">presentazione video<\/a> sul threat modeling):<\/p>\n<ul>\n<li>costruisci il modello, una rappresentazione del sistema<\/li>\n<li>poniti delle domande sul sistema (essenzialmente: cosa potrebbe andare storto?)<\/li>\n<li>identifica come mettere a posto i difetti trovati<\/li>\n<\/ul>\n<p><strong>Tutto chiaro? Iniziamo. <\/strong><br \/>\n<strong>Ripartiamo dall\u2019elenco di ci\u00f2 che dobbiamo analizzare <\/strong>perch\u00e9 pu\u00f2 portare, direttamente o indirettamente, al nostro Gmail. Agevolo grafico. Ognuna di queste caselle\/riquadri colorati richiederebbe una analisi a se stante probabilmente.\u00a0Inoltre ce ne potrebbero essere molte altre a seconda delle preferenze d\u2019uso dell\u2019utente (esempio: usa un servizio cloud per il backup delle mail? Usa un password manager? ecc ecc)<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/cdn.substack.com\/image\/fetch\/w_1456,c_limit,f_auto,q_auto:good,fl_progressive:steep\/https%3A%2F%2Fbucketeer-e05bbc84-baa3-437e-9518-adb32be77984.s3.amazonaws.com%2Fpublic%2Fimages%2F513dddab-d85c-4f59-95bc-22475dfd7702_1574x1164.png\" alt=\"\" data-attrs=\"{&quot;src&quot;:&quot;https:\/\/bucketeer-e05bbc84-baa3-437e-9518-adb32be77984.s3.amazonaws.com\/public\/images\/513dddab-d85c-4f59-95bc-22475dfd7702_1574x1164.png&quot;,&quot;height&quot;:1077,&quot;width&quot;:1456,&quot;resizeWidth&quot;:null,&quot;bytes&quot;:114869,&quot;alt&quot;:null,&quot;title&quot;:null,&quot;type&quot;:&quot;image\/png&quot;,&quot;href&quot;:null}\" \/><\/p>\n<p>Ora immaginiamo solo alcune situazioni (non tutte ok?).<\/p>\n<p><strong> ATTACCANTE CON LA PASSWORD<\/strong><br \/>\nPer la maggior parte di voi (di noi) l\u2019attacco pi\u00f9 probabile sar\u00e0 quello dell\u2019attaccante con password, cio\u00e8 che \u00e8 gi\u00e0 in possesso della nostra password (vedi riquadro YOUR PASSWORD nel grafico). Quindi dovremo lavorare per evitare che questo accada. Normalmente un attaccante ha la nostra password perch\u00e9:<br \/>\n1) gliela abbiamo detta noi (rivelandola a ex convivente, collega ecc, scrivendola su un post-it ecc)<br \/>\n2) \u00e8 una password che pu\u00f2 essere indovinata da un umano (\u00e8 il nome del nostro gatto molto amato e instagrammato seguito dal nostro anno di nascita, appena celebrato con compleanno e torta su Facebook) o da un programma (che prova tutte le parole esistenti ecc)<br \/>\n3) \u00e8 una password difficile da indovinare ma non \u00e8 unica, la usiamo anche sul forum di vattelapesca, sul sito degli scacchi cui ci siamo appena iscritti trascinati dall\u2019entusiasmo per una serie Netflix, sul sito di dating per cuori spezzati dal Covid. Se uno di questi viene \u201cbucato\u201d da qualcuno e non protegge adeguatamente la password, l\u2019attaccante potr\u00e0 provare a usarla sul nostro Gmail (la pratica esecrabile di usare la stessa password su pi\u00f9 account si chiama password reuse, e vi assicuro che ci sono ancora pi\u00f9 leak in circolo figli del password reuse che virologi in tv).<br \/>\n4) password unica e difficile ma poi nelle opzioni recupero password ho risposto alle domande di sicurezza che mi chiedono il nome dell\u2019asilo che frequentavo mettendo davvero quello (ma come fate a ricordarvelo poi?), e un attaccante motivato ha scoperto la risposta giusta da inserire.<br \/>\n5) gli esempi possono essere sempre pi\u00f9 complessi: se usiamo un password manager (uno strumento che ti fa salvare tutte le password in un posto solo) e sopra ci salviamo anche la nostra password di Gmail dobbiamo sapere che la sicurezza di Gmail dipender\u00e0 dalla sicurezza della password con cui entriamo nel password manager (che probabilmente dovremmo aggiungere da qualche parte nel grafico sopra, essendo un\u2019ulteriore via di accesso al nostro Gmail).<br \/>\n(PS: il password manager, se usato bene, \u00e8 uno dei principali strumenti per alzare le vostre difese (insieme all\u2019autenticazione a due fattori). Ce ne sono di vari tipi (<a href=\"https:\/\/www.pcmag.com\/picks\/the-best-password-managers\">qua una lista <\/a>con pro e contro &#8211; PC Mag). Inoltre una volta che si inizia a usarlo scoprirete che \u00e8 estremamente comodo.)<\/p>\n<p><strong>Ok, ora che abbiamo visto sopra alcuni casi (i vari 1,2, 3, 4, 5) applichiamo subito per ognuno delle contromisure che potranno essere tecniche o procedural<\/strong>i (mentre in contemporanea valutiamo la priorit\u00e0 da dare alla varie minacce in base al nostro profilo):<br \/>\n1) decidiamo che non dobbiamo rivelare la password a nessuno, se lo abbiamo fatto la cambiamo (procedurale)<br \/>\n2) cambiamo la password facile mettendone una lunga e difficile, con mix di lettere, numeri e caratteri speciali (tecnico). PS: la password P@ssw0rd! non vale eh<br \/>\n3) facciamo in modo che la nostra password Gmail sia unica (procedurale)<br \/>\n4) non rispondiamo in modo veritiero a domande di sicurezza che possono essere indovinate\/ricostruite da altri (procedurale)<br \/>\n5) sulla 5, ma in generale a rinforzo anche delle altre, aggiungiamo l\u2019autenticazione a due fattori. Cos\u00ec anche se qualcuno avr\u00e0 la nostra password dovr\u00e0 avere anche un codice generato dal nostro telefono per accedere. Scegliamo dunque di usare una app per generare i codici del nostro secondo fattore. Riduciamo il rischio che qualcuno possa usare il nostro telefono con la app bloccandolo con un pin (con la cifratura).<\/p>\n<p>Se invece immaginiamo per qualche motivo di dover usare solo l\u2019autenticazione a due fattori via sms (e non tramite app), alla nostra analisi dovremo aggiungere una serie di rischi\/attacchi connessi al ricevimento dell\u2019sms: l\u2019operatore telefonico (o un suo dipendente) potrebbe essere compromesso\/ingannato e permettere un cambio di SIM &#8211; SIM swap &#8211; richiesto dagli attaccanti che cos\u00ec a quel punto riceverebbero loro l\u2019sms; o l\u2019sms potrebbe essere \u201cintercettato\u201d con attacchi SS7 che sfruttano una nota vulnerabilit\u00e0 del protocollo usato nelle reti telefoniche. (Sul rischio SIM swap, prevalente negli Stati Uniti e in altri Stati, e alcune possibilit\u00e0 per mitigarlo vedi questo <a href=\"https:\/\/www.cybersecurity360.it\/nuove-minacce\/attacco-sim-swapping-cose-come-funziona-come-difendersi\/\">articolo<\/a> di Cybersecurity360).<\/p>\n<p><strong>ATTACCANTE SENZA PASSWORD<br \/>\nSCENARIO A<\/strong><br \/>\nLo scenario A \u00e8 il pi\u00f9 diffuso e probabile. <strong>\u00c8 quello in cui\u00a0l\u2019attaccante cercher\u00e0 di farsi dare la password da voi senza che ve ne accorgiate. <\/strong>Quindi sarete attaccati direttamente voi (vedi riquadro YOU nel grafico).<br \/>\nIl metodo pi\u00f9 diffuso e probabile sar\u00e0 social engineering, ovvero l\u2019inganno:<br \/>\n1) mail di phishing (finta notifica sicurezza di Gmail che dice che dovete cambiare subito la password perdiana!)<br \/>\n2) sms\/messaggio o telefonata di phishing (in gergo, smishing o vishing)<br \/>\n3) altri metodi creativi<\/p>\n<p>La contromisura sar\u00e0 procedurale:<br \/>\n&#8211; non clicco su link sospetti, non inserisco le mie credenziali se non sono sicura che sia Gmail, non vado a cambiare la password da un link nella mail, non mi fido di sconosciuti al telefono anche se assicurano di essere un helpdesk, non accetto caramelle ecc<br \/>\nE tecnica:<br \/>\n&#8211; uso autenticazione a due fattori (\u00e8 vero che il social engineering pu\u00f2 riuscire ad aggirarla, ma se ad esempio adotto una chiavetta hardware tipo Yubikey come metodo di autenticazione diventa molto pi\u00f9 dura se non impossibile).<\/p>\n<p><strong>SCENARIO B<\/strong><br \/>\n<strong> L\u2019attaccante cercher\u00e0 di farsi dare la password minacciandovi fisicamente o legalmente <\/strong>(vedi riquadro YOU).<br \/>\nContromisura procedurale per la minaccia legale:<br \/>\n&#8211; un buon avvocato se siete in uno Stato di diritto<br \/>\nSe non siete in uno Stato di diritto, dovete accettare il rischio di dover consegnare la password. Potete minimizzarlo riducendo i dati sensibili presenti sulla vostra mail. O viaggiare (se lo Stato \u00e8 estero) senza i vostri usuali dispositivi e\/o metterci sopra un Gmail secondario. O altro ancora. Ma questa \u00e8 una soluzione estrema, e se il vostro threat model \u00e8 quello di comuni mortali probabilmente lo scarterete o comunque sar\u00e0 in fondo alle vostre priorit\u00e0.<\/p>\n<p><strong>SCENARIO C<\/strong><br \/>\n<strong>L\u2019attaccante cercher\u00e0 di accedere direttamente al vostro Gmail passando fisicamente dai vostri apparecchi,<\/strong> ergo tenter\u00e0 di mettere le mani sui vostri telefoni, tablet, computer (vedi riquadro PC, SMARTPHONE, TABLET).<br \/>\nContromisura tecnica:<br \/>\n&#8211; cifratura disco su tutto<br \/>\nContromisura procedurale:<br \/>\n&#8211; non lascio i miei apparecchi incustoditi, specie se accesi; faccio in modo di inserire il blocco se mi allontano per poco, spengo (per attivare cifratura) se mi allontano di pi\u00f9 o se lo trasporto.<br \/>\n(Questo scenario sar\u00e0 ovviamente in cima alla vostra lista se lavorate in aree condivise, e dovete spesso allontanarvi dal pc per vari motivi; se non vi fidate di chi ha accesso ai vostri spazi; se viaggiate per lavoro, ecc)<\/p>\n<p><strong>SCENARIO D<\/strong><br \/>\n<strong> L\u2019attaccante prova a ottenere le vostre credenziali o comunque a leggervi la posta entrando da remoto nei vostri dispositivi. <\/strong>Pu\u00f2 farlo in vari modi:<br \/>\n1) con un link in una mail\/messaggio che vi far\u00e0 installare un trojan<br \/>\n2) con una finta app da scaricare che invece \u00e8 malevola<br \/>\n3) con una vulnerabilit\u00e0 del vostro software<br \/>\n4) con un aggiornamento malevolo di un software autentico<br \/>\n5) dirottando la vostra navigazione su un sito malevolo senza che ve ne accorgiate<br \/>\n\u2026.e in altri modi che non sto ad elencare\u2026<br \/>\n(vedi riquadro SMARTPHONE, TABLET, PC intesi come sistema operativo ma anche BROWSER, APP ecc)<\/p>\n<p>Contromisure tecniche e procedurali:<br \/>\n1) installate un antivirus, non cliccate su link di cui non siete sicuri, aprite allegati all\u2019interno di applicazioni\/ambienti sicure<br \/>\n2) non scaricate app e software a caso<br \/>\n3) aggiornate sempre i software, non visitate siti sconosciuti, non col computer su cui volete proteggere dati sensibili<br \/>\n4) in questo caso l\u2019attaccante ha compromesso la supply chain, \u00e8 di alto livello, sperate di non rientrare in questo threat model e comunque di essere solo un target casuale<br \/>\n4) tendenzialmente, idem come sopra<\/p>\n<p>(Tenete per\u00f2 presente che se il vostro threat model include qualcuno che voglia entrare con un malware nel vostro pc quasi SOLO per leggervi la posta &#8211; invece che per cifrare tutto con un ransomware e chiedervi un riscatto, o per entrare nell\u2019internet banking, siete in una alarm zone, in cui dovrete prendere molte altre contromisure\u2026 Una parte di giornalisti pu\u00f2 essere inclusa in questa categoria, cos\u00ec come alcuni avvocati, legali, consulenti, politici ecc ).<\/p>\n<p><strong>Prendiamo ora ad esempio solo il riquadro TABLET e invertiamo l\u2019ordine del ragionamento.<\/strong><br \/>\nAvete adottato tutte le contromisure di cui sopra, password forte, autenticazione a due fattori, sul telefono avete una passphrase, il computer \u00e8 cifrato\u2026 ma cosa altro potrebbe andare storto considerato che volete difendere la casella mail? Magari dal tablet vi eravate loggati su Gmail per controllare un giorno la posta mentre eravate chiss\u00e0 dove e di fretta, poi ve ne eravate quasi dimenticati, e il vostro tablet (che usate solo per la didattica a distanza dei figli) non ha PIN di sorta. Un giorno vostro figlio se lo porta a scuola e poi lo dimentica su un muretto. Oppure lo lasciate voi per errore in un bar o su un treno. Se aveste fatto threat modeling, avreste invece considerato che il tablet era uno dei modi per accedere al vostro Gmail e avreste potuto decidere di blindarlo con un PIN o passphrase, o meglio ancora, visto che andava in giro in mano ad altri, di togliere del tutto Gmail dallo stesso.<\/p>\n<p><strong>Ancora, vediamo la casella GOOGLE, ovvero la possibilit\u00e0 di una RICHIESTA STATALE E\/O di un ATTACCANTE STATALE.<\/strong><br \/>\nLa maggior parte delle persone probabilmente non avr\u00e0 questa preoccupazione in cima alla sua lista (specifico che per richiesta e\/o attacco statale intendo qualsiasi Stato, non solo il vostro; e che la prima pu\u00f2 essere una ingiunzione o altra richiesta legale nell\u2019ambito di una giurisdizione, mentre con attacco intendo un accesso illegale fatto a insaputa della stessa azienda, in genere da parte di una intelligence). Tuttavia se invece vi considerate a rischio dovrete trovare il modo di cifrare le vostre mail sensibili (ce ne sono diversi, qua un <a href=\"https:\/\/cybernews.com\/secure-email-providers\/how-to-encrypt-email\/\">elenco<\/a> di opzioni; e <a href=\"https:\/\/www.comparitech.com\/blog\/information-security\/pgp-encryption-gmail\/\">qua un altro<\/a>). Vale anche per lo scenario in cui non vi fidiate di Google (ma allora fate prima a non usare proprio i suoi servizi).<\/p>\n<p>Bene, abbiamo finito questa prima analisi. Ora andate avanti voi: elencate la vostra lista di asset (di beni per voi preziosi in quanto contenenti vostre info o accessi alle stesse), e provate a esaminare per ognuno chi e come pu\u00f2 accedere. E dove potete applicare contromisure.\u00a0Se alla fine di questo esercizio non vi \u00e8 salita almeno un po\u2019 di paranoia, allora l\u2019esperimento non \u00e8 andato a buon fine.<\/p>\n<p>In generale, ricordo ancora che ci si pu\u00f2 concentrare: 1) sugli asset (i vostri beni digitali\/tecnologici); 2) sugli entry point; 3) sugli attaccanti, e che comunque \u00e8 qualcosa che in realt\u00e0 sapete gi\u00e0 fare, sempre per citare Shostack. E che la domanda principale da porsi resta: cosa pu\u00f2 andare storto?<\/p>\n<p>Ecco qualche risorsa da consultare:<\/p>\n<ul>\n<li>Threat Modeling: Lessons from Star Wars &#8211; Adam Shostack &#8211; <a href=\"https:\/\/www.youtube.com\/watch?v=Y3VQpg04vXo\" target=\"_blank\" rel=\"noopener\">VIDEO<\/a> (sempre per un approccio pi\u00f9 tecnico, ma comunque una buona introduzione al tema)<\/li>\n<li><a href=\"https:\/\/cheatsheetseries.owasp.org\/cheatsheets\/Threat_Modeling_Cheat_Sheet.html\" target=\"_blank\" rel=\"noopener\">Threat Modeling Cheat Sheet <\/a>(tecnico, ma con una intro su terminologia e metodologie)<\/li>\n<li><a href=\"https:\/\/arstechnica.com\/information-technology\/2017\/07\/how-i-learned-to-stop-worrying-mostly-and-love-my-threat-model\/\" target=\"_blank\" rel=\"noopener\">How I learned to stop worrying (mostly) and love my threat model<\/a> (per utenti comuni, il threat modeling secondo un approccio usato anche qua)<\/li>\n<li><a href=\"https:\/\/www.eff.org\/document\/surveillance-self-defense-threat-modeling\" target=\"_blank\" rel=\"noopener\">Surveillance Self Defense: Threat Modeling <\/a>&#8211; EFF (per attivisti, giornalisti, utenti vari)<\/li>\n<li><a href=\"https:\/\/source.opennews.org\/articles\/security-journalists-part-two-threat-modeling\/\" target=\"_blank\" rel=\"noopener\">Security for Journalists, Part Two: Threat\u00a0Modeling<\/a> (ottimo per giornalisti, anche se i riferimenti ai tool possono essere un po\u2019 datati).<strong>\u00a0<\/strong><\/li>\n<\/ul>\n<p>Carola Frediani<\/p>\n<p><a href=\"https:\/\/guerredirete.substack.com\/\" target=\"_blank\" rel=\"noopener\">Guerre di Rete<\/a><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Cos\u2019\u00e8 il threat modeling \u00c8 un processo con cui identificare potenziali minacce e vulnerabilit\u00e0, valutare quanto sono serie\/probabili nel caso specifico, metterle in una scala di priorit\u00e0, e ridurre il rischio che si avverino prendendo delle contromisure. In genere lo si fa per sistemi\/software\/prodotti, e al riguardo c\u2019\u00e8 una discreta letteratura in materia (ad esempio, &hellip; <\/p>\n<p class=\"link-more\"><a href=\"https:\/\/labzise.noblogs.org\/?p=519\" class=\"more-link\">Continue reading<span class=\"screen-reader-text\"> &#8220;Threat Modeling workshop&#8221;<\/span><\/a><\/p>\n","protected":false},"author":6360,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,30],"tags":[],"class_list":["post-519","post","type-post","status-publish","format-standard","hentry","category-general","category-tools","entry"],"_links":{"self":[{"href":"https:\/\/labzise.noblogs.org\/index.php?rest_route=\/wp\/v2\/posts\/519","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/labzise.noblogs.org\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/labzise.noblogs.org\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/labzise.noblogs.org\/index.php?rest_route=\/wp\/v2\/users\/6360"}],"replies":[{"embeddable":true,"href":"https:\/\/labzise.noblogs.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=519"}],"version-history":[{"count":5,"href":"https:\/\/labzise.noblogs.org\/index.php?rest_route=\/wp\/v2\/posts\/519\/revisions"}],"predecessor-version":[{"id":524,"href":"https:\/\/labzise.noblogs.org\/index.php?rest_route=\/wp\/v2\/posts\/519\/revisions\/524"}],"wp:attachment":[{"href":"https:\/\/labzise.noblogs.org\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=519"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/labzise.noblogs.org\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=519"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/labzise.noblogs.org\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=519"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}