STRIDE, DREAD за основу.

Всё из Microsoft Threat Modeling Methodology.

DREAD (Методика оценки риска) - Damage potential (что может быть сломано), Reproducibility (повторяемость), Exploitability (пригодность угрозы для использования), Affected users (на каких пользователей повлияет), Discoverability (возможно ли детектировать факт использования).

STRIDE (Модель деления угроз на категории)
Spoofing (подделка идентификации), Tampering (взлом), Information disclosure (раскрытие информации), Denial of service (отказ в обслуживании) и Elevation of privilege (увеличение привилегий).

Руководствуясь данными факторами, можно выполнить требуемое, применительно как к сети, системе, так и программному продукту.

Спасибо.
А кто-нибудь применял STRIDE и DREAD в реальной жизни?

У каждой компании есть свои умные слова: у IBM это MASS, у ISS это ADDME