Домен
Безопасность
Профиль навыка
Моделирование угроз
STRIDE, PASTA, attack trees, data flow diagrams, анализ поверхности атаки
Безопасность
Безопасность приложений
Ролей
8
где встречается этот навык
Грейдов
5
сформированная дорожка роста
Обязательных требований
29
ещё 11 — необязательные
Группа
Безопасность приложений
Последнее обновление
17.03.2026
Как использовать
Выберите текущий грейд и сравните ожидания. Карточки ниже покажут, что нужно закрыть для следующего уровня.
Чего ждут на каждом уровне
Таблица показывает, как меняется глубина владения навыком от Junior до Principal.
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Понимает базовые концепции Моделирование угроз. Следует security guidelines. Распознаёт типовые уязвимости в коде. |
| Blockchain Developer | Понимает базовые концепции моделирования угроз для блокчейн-приложений: определяет распространённые векторы атак (reentrancy, front-running, манипуляция оракулами). Следует установленным чек-листам угроз при ревью взаимодействий смарт-контрактов. Участвует в сессиях моделирования угроз под руководством. | |
| DevSecOps Engineer | Обязателен | Изучает методологии моделирования угроз STRIDE и DREAD. Участвует в сессиях threat modeling под руководством старших инженеров. Документирует выявленные угрозы в стандартном формате. Использует OWASP Threat Dragon для визуализации DFD-диаграмм потоков данных. |
| Network Engineer | Знает базовые концепции threat modeling для network engineer и умеет применять их в типовых задачах. Использует стандартные инструменты и следует установленным практикам команды. Понимает когда и почему применяется данный подход. | |
| Penetration Testing Engineer | Обязателен | Понимает базовые концепции Моделирование угроз. Следует security guidelines. Распознаёт типовые уязвимости в коде. |
| QA Security Engineer | Понимает threat modeling: STRIDE для идентификации угроз, data flow diagrams для системы. Участвует в threat modeling sessions. Документирует identified threats. | |
| Security Analyst | Обязателен | Понимает базовые методологии моделирования угроз (STRIDE, DREAD). Определяет распространённые угрозы в простых системах с использованием готовых шаблонов. Документирует сценарии угроз согласно организационным руководствам. Помогает в создании диаграмм потоков данных для анализа угроз. |
| Smart Contract Developer | Понимает базовое моделирование угроз для смарт-контрактов: определяет распространённые паттерны уязвимостей (integer overflow, ошибки контроля доступа, непроверенные внешние вызовы). Следует рекомендациям OWASP Smart Contract Top 10. Документирует потенциальные угрозы в дизайне контрактов под руководством. |
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Самостоятельно проводит сессии моделирования угроз для компонентов приложений с использованием методологии STRIDE. Строит диаграммы потоков данных и определяет границы доверия. Приоритизирует угрозы с помощью DREAD или матриц рисков. Интегрирует моделирование угроз в этапы SDLC и отслеживает устранение выявленных рисков. |
| Blockchain Developer | Самостоятельно применяет моделирование угроз к DeFi-протоколам и блокчейн-архитектурам. Анализирует экономические векторы атак (flash loan эксплойты, MEV-извлечение, атаки на governance). Понимает компромиссы между средствами защиты и оптимизацией газа. Сопоставляет угрозы с конкретными паттернами митигации в дизайне смарт-контрактов. | |
| DevSecOps Engineer | Обязателен | Самостоятельно проводит threat modeling для микросервисов с использованием STRIDE. Строит Data Flow Diagrams, определяет trust boundaries и attack surfaces. Применяет Microsoft Threat Modeling Tool для систематического анализа. Приоритизирует угрозы по DREAD-модели и создаёт mitigation plans. |
| Network Engineer | Уверенно применяет threat modeling для network engineer при решении нестандартных задач. Самостоятельно выбирает оптимальный подход и инструменты. Анализирует trade-offs и предлагает улучшения существующих решений. | |
| Penetration Testing Engineer | Обязателен | Самостоятельно применяет моделирование угроз для определения поверхности атаки перед пентестами. Сопоставляет техники MITRE ATT&CK с компонентами системы. Понимает компромиссы между различными путями атак и приоритизирует усилия тестирования. Создаёт threat-informed планы тестирования, охватывающие сетевые, прикладные и социально-инженерные векторы. |
| QA Security Engineer | Проводит threat modeling: STRIDE/PASTA по new features, identifies trust boundaries и attack surfaces. Создаёт threat models для API и data flows. Определяет security test cases из threats. | |
| Security Analyst | Обязателен | Самостоятельно проводит моделирование угроз для систем средней сложности с использованием STRIDE и деревьев атак. Сопоставляет выявленные угрозы с тактиками фреймворка MITRE ATT&CK. Понимает компромиссы между средствами защиты и удобством системы. Формирует действенные отчёты об угрозах с ранжированными по риску рекомендациями по митигации. |
| Smart Contract Developer | Самостоятельно применяет моделирование угроз к мультиконтрактным системам и кросс-чейн взаимодействиям. Анализирует векторы атак на уровне протокола (эксплойты мостов, зависимости от оракулов, злоупотребление механизмами обновления). Понимает компромиссы между паттернами proxy и иммутабельностью с точки зрения безопасности. Сопоставляет угрозы с целями формальной верификации. |
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Проектирует фреймворки моделирования угроз, адаптированные под технологический стек и профиль рисков организации. Интегрирует автоматизированный анализ угроз в CI/CD пайплайны (сканирование IaC, оценка угроз зависимостей). Менторит команды разработки по практикам непрерывного моделирования угроз. Создаёт библиотеки угроз и переиспользуемые паттерны для микросервисных архитектур. |
| Blockchain Developer | Обязателен | Проектирует security-решения с Моделирование угроз. Проводит threat modeling. Внедряет security practices в SDLC. Менторит команду. |
| DevSecOps Engineer | Обязателен | Разрабатывает корпоративный процесс threat modeling, интегрированный в SDLC. Проводит threat modeling для сложных распределённых систем и облачных архитектур. Внедряет автоматизированный threat modeling через IriusRisk. Обучает команды самостоятельному проведению сессий threat modeling. |
| Network Engineer | Экспертно применяет threat modeling для network engineer для проектирования сложных систем. Оптимизирует существующие решения и предотвращает архитектурные ошибки. Проводит code review и обучает коллег лучшим практикам. | |
| Penetration Testing Engineer | Обязателен | Проектирует фреймворки симуляции противника на основе комплексных моделей угроз. Сопоставляет kill chain MITRE ATT&CK с активами организации и создаёт планы purple team упражнений. Менторит младших тестировщиков по threat-driven методологии пентестирования. Оптимизирует точность модели угроз, возвращая результаты пентестов в организационную threat intelligence. |
| QA Security Engineer | Обязателен | Проектирует threat modeling process: automated threat modeling (OWASP Threat Dragon, IriusRisk), threat library для organization, integration с SDLC. Переводит threats в security tests. |
| Security Analyst | Обязателен | Проектирует процессы моделирования угроз для сложных распределённых систем и cloud-native архитектур. Создаёт библиотеки деревьев атак, привязанные к отраслевым ландшафтам угроз. Менторит аналитиков по продвинутым техникам анализа угроз, включая моделирование kill chain. Оптимизирует правила обнаружения угроз на основе смоделированных сценариев атак и emerging threat intelligence. |
| Smart Contract Developer | Обязателен | Проектирует комплексные процессы моделирования угроз для экосистем DeFi-протоколов. Создаёт формальные таксономии угроз, охватывающие экономические, криптографические и governance-поверхности атак. Менторит команды по инвариантно-ориентированному проектированию безопасности и автоматическому обнаружению угроз при обновлении смарт-контрактов. Оптимизирует объём security-аудита на основе покрытия модели угроз. |
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Определяет стратегию моделирования угроз на уровне команды и продукта. Устанавливает обязательные этапы моделирования угроз в жизненном цикле разработки. Координирует кросс-командные оценки угроз для общей инфраструктуры и API-границ. Формирует культуру моделирования угроз, обучая продуктовые команды и интегрируя анализ угроз в планирование спринтов и архитектурные ревью. |
| Blockchain Developer | Обязателен | Определяет стратегию моделирования угроз для портфелей блокчейн-продуктов. Координирует кросс-протокольные оценки угроз, охватывающие риски DeFi-композируемости, безопасность мостов и допущения L2. Устанавливает стандарты моделирования угроз для аудита смарт-контрактов и предрелизных ревью безопасности. Продвигает внедрение автоматического обнаружения угроз в рабочий процесс разработки. |
| DevSecOps Engineer | Обязателен | Определяет стратегию threat modeling на уровне организации с интеграцией в архитектурные review. Управляет библиотекой threat models для типовых архитектурных паттернов. Внедряет threat modeling as code с threatspec. Строит метрики: покрытие систем, время до mitigation, повторяемость угроз. |
| Network Engineer | Устанавливает стандарты применения threat modeling для network engineer в команде и принимает архитектурные решения. Определяет технический roadmap с учётом данного навыка. Менторит senior инженеров и влияет на практики смежных команд. | |
| Penetration Testing Engineer | Обязателен | Определяет стратегию threat-driven пентестирования на уровне команды. Устанавливает скоупинг и приоритизацию на основе моделей угроз для всех engagements. Координирует red team и purple team упражнения, согласованные с ландшафтом угроз организации. Выстраивает циклы обратной связи между результатами моделирования угроз, находками пентестов и решениями по архитектуре безопасности. |
| QA Security Engineer | Обязателен | Определяет threat modeling стандарты: mandatory для high-risk features, templates, review process. Обучает dev teams. Координирует threat models между командами. |
| Security Analyst | Обязателен | Определяет стратегию моделирования угроз на уровне команды и продукта для security operations. Устанавливает процессы моделирования на основе threat intelligence, согласованные с MITRE ATT&CK и отраслевыми фреймворками. Координирует оценки угроз между SOC, командами реагирования на инциденты и управления уязвимостями. Продвигает интеграцию моделей угроз в detection engineering и стратегию мониторинга. |
| Smart Contract Developer | Обязателен | Определяет стратегию моделирования угроз для команд разработки смарт-контрактов и протокольных продуктов. Устанавливает стандарты security-ревью, интегрирующие формальную верификацию с анализом угроз. Координирует кросс-протокольные оценки угроз для рисков композируемости и обновлений. Продвигает внедрение моделирования угроз как обязательной практики перед аудитом во всей контрактной разработке. |
| Роль | Обязательность | Описание |
|---|---|---|
| Application Security Engineer | Обязателен | Определяет стратегию моделирования угроз и фреймворк управления на уровне предприятия. Формирует архитектуру безопасности организации через систематический анализ угроз по всем продуктовым линейкам. Устанавливает бенчмарки зрелости моделирования угроз и обеспечивает непрерывное улучшение. Представляет организацию в отраслевых сообществах по моделированию угроз и вносит вклад в развитие стандартов (OWASP, NIST). |
| Blockchain Developer | Обязателен | Определяет enterprise security strategy. Формирует security architecture. Координирует compliance. Представляет организацию в security-сообществе. |
| DevSecOps Engineer | Обязателен | Проектирует масштабируемый фреймворк threat modeling для всей организации, включающий автоматизацию, библиотеки угроз и интеграцию с риск-менеджментом. Разрабатывает threat intelligence программу. Влияет на архитектурные решения на основе системного анализа ландшафта угроз. |
| Network Engineer | Формирует стратегию применения threat modeling для network engineer на уровне организации. Определяет best practices и влияет на выбор технологий за пределами своей команды. Является признанным экспертом в данной области. | |
| Penetration Testing Engineer | Обязателен | Определяет организационную стратегию моделирования угроз, направляющую приоритеты offensive security. Формирует enterprise-roadmap red team на основе эволюционирующего ландшафта угроз и TTP противников. Создаёт фреймворки, связывающие threat intelligence, модели угроз и покрытие пентестирования по всей организации. Влияет на отраслевые практики offensive security через исследования и участие в сообществе. |
| QA Security Engineer | Обязателен | Проектирует organizational threat modeling: automated threat discovery, threat intelligence integration, continuous threat assessment. Определяет risk-based security strategy. |
| Security Analyst | Обязателен | Определяет организационную стратегию моделирования угроз, согласованную с enterprise risk management. Формирует архитектуру security operations через анализ ландшафта угроз и моделирование противников в масштабе. Устанавливает кросс-департаментные стандарты оценки угроз, интегрирующие MITRE ATT&CK, STRIDE и анализ бизнес-влияния. Продвигает отраслевое сотрудничество по обмену threat intelligence и фреймворкам моделирования. |
| Smart Contract Developer | Обязателен | Определяет организационную стратегию моделирования угроз для блокчейн и Web3-безопасности по всем протоколам и сетям. Формирует отраслевые стандарты безопасности смарт-контрактов через формальные таксономии угроз и фреймворки рисков. Устанавливает кросс-организационный обмен threat intelligence для рисков экосистемы DeFi. Продвигает эволюцию методологий моделирования угроз для новых поверхностей атак (ZK-схемы, кросс-чейн мосты, MEV). |
Загрузка комментариев...
Войти, чтобы присоединиться к обсуждению