Линч-пакет: Сергей Атрощенков “Моделирование угроз безопасности”

Начну серию постов, в которых постараюсь очень критически отрецензировать доклады коллег. Разрешение на линч было дано мне авторами, находящимися в здравом уме и твёрдой памяти, добровольно и без принуждения :)

Первый под горячую руку попал доклад - Сергея Атрощенкова с SQA Days 17 в Минске
Для удобства чтения я повторю слайды и видео тут:

 

Доклад (40 минут) был оформлен в формате мастер-класса и включал работу с аудиторией. Цель доклада была познакомить слушателя с базовыми понятиями теории угроз, описать процесс моделирования угроз, объяснить методологию STRIDE, и рассказать о том, кто вовлечен в процесс моделирования.

Начну с совета. Если вы хорошо владеете темой, подготовили интересные слайды и примеры, имеете хороший опыт публичного выступления, то вам стоит уделить внимание трём вещам. Это - тайминг, тайминг и еще раз тайминг.

Проблемой доклада номер 1 стал он - тайминг. Первая половина (около 25 минут) прошла в интересном и подробном вводном диалоге с аудиторией. Зато последние 15 минут пришлось пропускать слайды, проглатывать абзацы и отсылать к гуглу. Я ставил запись на паузу, чтобы переварить услышанное. Времени на вопросы не осталось совсем.

В защиту докладчика замечу - я не считаю реальным проведение осмысленного мастер-класса, включающего диалоги с аудиторией за 40 минут (да еще с вопросами). Покажите мне как! Мне кажется, лучше всего было бы выделить докладу два смежных слота, материала чтобы занять это время у докладчика было! А так изначально "mission impossible".

Остальные проблемы были менее значительны. В порядке значимости.

  • Работа на "запись"

Техническая ошибка - ответы зала на свои вопросы Сергей не повторял в микрофон. К великому счастью запись это "простила" - все было хорошо слышно. Если на секундочку представить, что как часто бывает, на записи вопросы без микрофона практически не слышны - видео с докладом потеряло бы половину своей привлекательности.

  • Английский язык, такой английский.

К сожалению не удалось справиться с переводами на "отлично". Например слово "assets" - более точно переводится, как "актив", "имущество". Тогда и проще понять почему люди - "assets" ;-).  Mitigate переводится в контексте примерно как "смягчать [угрозы]", "принимать меры".  "Репьюдиэйшн" (признаюсь, не знал этого слова сам) - выговаривать не сложнее, чем немцам мою фамилию, докладчику такого уровня это должно быть тоже под силу. Как это "неотречение" - было сложно понять даже теперь в диалоге с автором. Некоторые слова и слайды (например диаграмма процесса моделирования) не были переведены вообще, и возможно были непонятны.

Совет: попросить экспертов языка проверить переводы

  • Структура презентации

Тоже сложный момент, по себе знаю :-). Структура была очень хорошей, кроме, возможно, одного места - как зрителю мне хотелось бы видеть пример диаграммы сразу после определения, а не в конце презентации. Я не совсем въехал в нее сразу и мысли об этом отвлекали от следующих шагов. Лучше было бы проиллюстрировать раньше.

  • Логическая проверка текстов на слайдах

Заметило только одно место - на слайде 25 много внимания уделено "объектам, пересекающим доверительные границы". Однако в определении на предыдущих слайдах нет понятия "объект". Наверное имелись ввиду "сущности"? Ну или "сущности" нужно было переименовать в объекты.

  • Содержание

Я не эксперт в этой теме, поэтому получил в основном новую информацию, которую не могу оценить слишком строго. Слайд 11 - показался знакомым, где-то это я все уже слышал :) Как мне показалось - слово "безопасность" на нём можно без потери правоты слайда заменить на "тестирование", "производительность" и т.п. :).  Ну это даже не критика, это норм. Важные вещи не зазорно повторят из доклада в доклад.

  • Мелкие огрехи в слайдах

Слайд 21 - грамматически неверно оформлен, сложно читать. Текст про сову слишком мелкий. Очепяток штуки 3 было. Ну это уже мелочи жизни :).

  • Звонок из зала :)

Это конечно вообще не проблема докладчика, а скорее недосмотр организаторов, или возможно, ошибка модератора (как мне показалось, звонок шел из телефона отеля, который находился в помещении) А Сергей справился!

Итак, доклад пропесочили! Теперь можно и слова пахлавы похвалы.

Доклад и тема показались мне  очень интересными! Даже учитывая спешку, Сергей успел полностью осветить все те темы, которые собирался (безусловно, это получилось бы еще лучше, будь у него 90 минут)! Диалог в первой части доклада разогрел и привлек аудиторию. Был представлен бесплатный инструмент SDL Threat Modelling Tool для моделирования. Слайдов и ссылок на них достаточно, чтобы разобраться, где именно углубиться в эту тему самому.

Я рекомендую вам посмотреть запись и составить собственное мнение!
А если вы хотите узнать мою версию ответа на вопрос "Какая цель тестирования" - посмотрите мой доклад с этой же конференции (когда его выложат тут) 😉