你什么时候开始分解威胁了？

Question

我们的开发团队已经掌握了发现威胁的窍门，但还有一个问题是与威胁分解相关的。

我们看待威胁分析的方法是，它包括识别适用的威胁，然后确定哪些类型的攻击(无论是XSS之类的攻击，还是错误设计的控制流)可以实现这些威胁。

这种威胁分解是很棘手的，因为这个任务的质量取决于分析的目标、执行分析的组的知识(甚至是情绪之类的琐事)，以及用于此活动的时间。我们很快就确定了“低挂水果”问题，然后随着时间的推移，越来越少可靠的攻击载体被确定。

确定威胁分解的停止条件的可接受方法是什么？这只是时间吗？组织是如何处理这个问题的？

Answer 1

我很难反驳引用我的答案，所以我只想补充一点，有时候风险、数据的敏感性、违约的影响，可以告诉你你走了多远。