คุณจำเป็นต้องมีการสำรองข้อมูลขั้นตอนที่สองและในการให้คำปรึกษากับลูกค้าของคุณทำงานออกมาเป็นรูปแบบของภัยคุกคาม (ใช่นั่นคือลิงค์ไปยังหนังสือ 600 หน้าใช่ฉันแนะนำให้คุณอ่านทุกอย่างอย่างจริงจัง)
รูปแบบการคุกคามเริ่มต้นด้วยการถามคำถามเช่น
- ทำไมแอพจำเป็นต้องจัดเก็บข้อมูลที่ละเอียดอ่อนนี้ตั้งแต่แรก?
- คุณสามารถหลีกเลี่ยงการเก็บมันได้ทั้งหมดหรือไม่?
- มันจะถูกโยนทิ้งไปในเวลาอันสั้นหรือไม่?
- จำเป็นต้องเข้าถึงอุปกรณ์มากกว่าหนึ่งเครื่องอย่างแท้จริงหรือไม่?
- หากต้องสามารถเข้าถึงได้ในอุปกรณ์มากกว่าหนึ่งเครื่องจำเป็นต้องจัดเก็บในอุปกรณ์มากกว่าหนึ่งเครื่องหรือไม่
- ใครคือผู้ที่ได้รับอนุญาตให้ดูข้อมูลที่ละเอียดอ่อนของผู้ใช้แต่ละคน
- รายการนี้สามารถทำให้สั้นลงได้หรือไม่?
- ใครคือผู้ที่อาจได้รับข้อมูลที่ละเอียดอ่อนของผู้ใช้แต่ละคนขณะที่พยายามทำงาน แต่ไม่จำเป็นต้องรู้
- สามารถนี้รายการจะทำให้สั้นลง?
- ข้อมูลนี้ไม่สามารถเข้าถึงได้โดยไม่กระทบต่อความสามารถในการทำงานของพวกเขาหรือไม่?
- หากไม่สามารถเข้าถึงไม่ได้อย่างน้อยจะเข้าใจไม่ได้หรือไม่ (นี่คือสิ่งที่การเข้ารหัสทำในนามธรรม: ทำให้ข้อมูลไม่สามารถเข้าใจได้)
- ใครคือคนที่ต้องการดูข้อมูลที่ละเอียดอ่อน แต่ไม่ได้รับอนุญาต
- พวกเขามีโอกาสใดบ้างที่จะได้รับข้อมูล
- พวกเขาต้องการทำอะไรกับข้อมูลเมื่อมีข้อมูล
- พวกเขาจะโกรธแค่ไหนถ้าพวกเขาไม่ได้สิ่งที่ต้องการ?
- พวกเขายินดีที่จะใช้เงินเงินเวลารอบการทำงานของ CPU และความพยายามของมนุษย์เท่าใด
- พวกเขาสนใจหรือไม่ถ้ามีคนรู้ว่าพวกเขาเห็นข้อมูลหรือไม่
- พวกเขาต้องการเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้โดยเฉพาะหรือไม่
- พวกเขารู้อะไรอยู่แล้ว
- พวกเขาสามารถเข้าถึงอะไรได้บ้าง
เมื่อคุณรู้คำตอบของคำถามเหล่านี้แล้วคุณจะอยู่ในตำแหน่งที่ดีกว่ามากในการหาว่าต้องทำอะไร
โปรดทราบว่าอาจมีคำตอบมากกว่าหนึ่งคำถามสำหรับแต่ละชุดคำถามโดยเฉพาะคำถามที่เกี่ยวข้องกับผู้โจมตี (ผู้ที่ต้องการข้อมูลที่ละเอียดอ่อน แต่ไม่ได้รับอนุญาต) หากคุณไม่สามารถนึกถึงผู้โจมตีตามแบบฉบับที่แตกต่างกันอย่างน้อยครึ่งโหลโดยมีแรงจูงใจเป้าหมายและทรัพยากรที่แตกต่างกันคุณอาจพลาดบางสิ่งไป
นอกจากนี้โปรดทราบว่าผู้โจมตีที่ทำให้คุณ (และ / หรือไคลเอนต์) มีปัญหามากที่สุดมีแนวโน้มที่จะสร้างสื่อขนาดยักษ์ในสื่อหากการโจมตีของพวกเขาประสบความสำเร็จหรือผู้ที่สร้างความเสียหายรวมมากที่สุด ไม่ใช่ผู้โจมตีที่สามารถก่อให้เกิดอันตรายสูงสุดต่อผู้ใช้แต่ละรายหากการโจมตีสำเร็จ บริษัท ของลูกค้าของคุณให้ความสำคัญกับความเสียหายรวมมากขึ้น แต่ผู้ใช้ให้ความสำคัญกับการทำร้ายตัวเองอย่างมีเหตุผล