Thursday, July 28, 2011

Risk Modeling, not "Threat Modeling"


Thanks to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 great new book Metasploit (review pending), I learned of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Penetration Testing Execution Standard. According to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site, "It is a new standard designed to provide both businesses and security service providers with a common language and scope for performing penetration testing (i.e. security evaluations)." I think this project has a lot of promise given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people involved.

I wanted to provide one comment through my blog, since this topic is one I've covered previously. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 goals of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 standard is to name and explain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 steps performed in a penetration test. One of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m is currently called "threat modeling," and is partly explained using this diagram:



When I saw elements called "business assets," "threat agents," "business process," and so on, I realized this is more of a risk model, not just a "threat model."

I just tagged a few older posts as discussing threat model vs risk model linguistics, so cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y might help explain my thinking. This issue isn't life or death, but I think it would be more accurate to call this part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 PTES "Risk Modeling."

2 comments:

Osama Salah said...

Reminds me of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FAIR Risk Management Taxonomy, which I mapped out here:

https://docs.google.com/viewer?a=v&pid=explorer&chrome=true&srcid=0B23AyRPec4wRNGM4MGVkNTEtNmUwNS00MTg5LWE2MWItNGQ5YjU4NTQyM2Ex&hl=en_US

iamit said...

RIchard, thank you very much for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 comment, and yes -you are correct that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threat modeling section is based on a wider risk modeling thinking.
I do think though that for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 context of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 section within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pets it would still be ok to call it threat model, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk model is what you eventually get to at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pen test, and would be reflected in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 final report, and of course cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 takeaways for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization and how it plans to apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 insights from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pen test to it's risk management practice.
Keep up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good work!