Threat modeling: как моделировать угрозы на старте проекта

Что такое threat modeling и зачем он нужен

Моделирование угроз отвечает на четыре вопроса, которые сформулировал OWASP: что мы строим, что может пойти не так, что мы с этим делаем и достаточно ли хорошо мы это сделали. Это не разовый аудит и не пентест: пентест ищет уязвимости в уже готовой системе, а threat modeling проектирует защиту до того, как уязвимости появятся.

Ценность в том, что разбор ведётся на уровне архитектуры, а не отдельных строк кода. Многие критичные проблемы — небезопасная аутентификация между сервисами, отсутствие шифрования канала, чрезмерные привилегии, незащищённые границы доверия — невозможно найти линтером или сканером, потому что это не баг в коде, а изъян замысла. Моделирование угроз ловит именно такие дефекты — и ловит их тогда, когда исправление стоит правки на схеме, а не переписывания половины системы.

Методологии: STRIDE, DFD и attack trees

На практике три инструмента закрывают большинство задач, и их используют вместе, а не по отдельности:

- **DFD (Data Flow Diagram).** Схема потоков данных: внешние сущности, процессы, хранилища и потоки между ними. Главное на DFD — границы доверия (trust boundaries): линии, где данные переходят из менее доверенной зоны в более доверенную (интернет → API, фронтенд → бэкенд, сервис → БД). Именно на этих границах рождаются угрозы. - **STRIDE.** Мнемоника из шести категорий угроз: Spoofing (подмена), Tampering (искажение), Repudiation (отказ от авторства), Information Disclosure (утечка), Denial of Service (отказ в обслуживании), Elevation of Privilege (повышение привилегий). Для каждого элемента DFD проходимся по шести буквам и спрашиваем: применима ли эта угроза здесь? - **Attack trees (деревья атак).** Дерево, где корень — цель злоумышленника (например, «получить доступ к БД клиентов»), а ветви — способы её достичь. Удобно для углублённого разбора конкретного критичного актива, когда STRIDE дал общую карту, а нужно проработать сценарии детально.

Связка простая: рисуем DFD → по STRIDE генерируем угрозы на каждой границе → для самых критичных рисков достраиваем attack trees и продумываем контрмеры.

Когда моделировать: чем раньше, тем дешевле

Главный тезис практики — моделировать угрозы нужно на старте проекта, на этапе проектирования архитектуры. Причина экономическая: дефект, пойманный на схеме, стоит правки стрелки на диаграмме; тот же дефект, найденный в продакшене, стоит инцидента, простоя и переписывания кода под давлением.

Это не значит «один раз и навсегда». Моделирование — итеративный процесс: его повторяют при существенных изменениях архитектуры, добавлении новой интеграции, нового хранилища данных или новой границы доверия. В зрелом Secure SDLC threat modeling встроен в процесс так же, как код-ревью: лёгкий пересмотр модели сопровождает каждое крупное изменение, а не превращается в отдельный тяжёлый проект раз в год.

Типичные ошибки при моделировании угроз

Даже правильная методология не спасает, если процесс выстроен неудачно. Чаще всего команды спотыкаются об одно и то же:

- **Откладывают на потом.** Моделирование «после релиза» теряет главную ценность — дешевизну ранних правок. Делать его надо до кода, а не вместо ретроспективы инцидента. - **Делают разово.** Модель, нарисованная один раз и забытая, устаревает с первой же крупной фичей. Без пересмотра она вводит в заблуждение. - **Тонут в деталях.** Попытка описать каждую функцию убивает процесс. Уровень DFD — архитектура и границы доверия, а не отдельные методы. - **Не приоритизируют.** Список из сотни угроз без ранжирования невыполним. Без оценки риска команда либо делает не то, либо не делает ничего. - **Не доводят до задач.** Найденные угрозы без заведённых тикетов и контрмер остаются бумагой. Модель ценна только тем, что меняет реализацию. - **Делают в одиночку.** Threat modeling — командная работа: архитектор, разработчик и безопасник видят разные угрозы. В одиночку покрытие неполное.

Threat modeling в составе Secure SDLC

Моделирование угроз — не самостоятельная активность, а часть безопасной разработки. Оно встаёт в один ряд с SAST/DAST, управлением зависимостями, секрет-менеджментом и код-ревью, но работает на самом раннем уровне — архитектурном. В России безопасная разработка опирается на ГОСТ Р 56939 и требования ФСТЭК, где анализ угроз на этапе проектирования — обязательный элемент. Помогает и [Банк данных угроз ФСТЭК (БДУ)](https://bdu.fstec.ru/): актуальный каталог угроз, на который можно опираться при моделировании под российские требования.

Чтобы threat modeling работал, его нужно встроить в процесс и поддержать инструментами. Как это сделать пошагово — в материале [«Как внедрить DevSecOps: дорожная карта Secure SDLC»](/research/kak-vnedrit-devsecops), а требования российских стандартов разобраны в статье [«Безопасная разработка по ГОСТ Р 56939 и ФСТЭК»](/research/bezopasnaya-razrabotka-gost-56939).

Следующий шаг

Разобрались с методом — переходите к инструментам, которые встраивают анализ угроз и безопасность в процесс разработки: **[рейтинг DevSecOps-платформ и сервисов →](/rating/devsecops-secure-sdlc)**. Полезно прочитать рядом: [как внедрить DevSecOps](/research/kak-vnedrit-devsecops), [рейтинг DevSecOps-платформ 2026](/research/rejting-devsecops-platform-2026) и [безопасная разработка по ГОСТ Р 56939 и ФСТЭК](/research/bezopasnaya-razrabotka-gost-56939).