Онлайн-сервис для построения модели угроз для frontend-приложений основан на фреймворке моделирования угроз DPA Analytics (DPA Frontend Threat Modeling Framework). Описание фреймворка и основные сущности были представлены Михаилом Парфеновым в докладе на PHDays 2025 (https://t.me/FrontSecOps/57).
Описание
Методология состоит из следующих сущностей.
| Сущность | Описание |
| Вектор | Вектор, по которому вредоносный код может попасть в frontend-приложение. |
| Способ реализации | Действия вредоносного кода, внедренного в frontend-приложение, выполнение которых приводит к монетизации или достижению других целей злоумышленника |
| Небезопасная конфигурация | Различные условия, снижающие безопасность приложения или эффективность других средств защиты, а также упрощающие реализацию / монетизацию для злоумышленника. |
| Требования регуляторов | Угрозы связанные с невыполнением требований регуляторов |
Для удобства работы с моделью угроз, вектора, способы реализации и другие сущности объединены в одну таблицу как единый список угроз.
Специфика разработки и эксплуатации frontend-приложений не дает возможности гарантированно предотвратить попадание вредоносного кода в приложение на этапе разработки и тестирования (хотя анализ поведения приложения перед релизом с помощью анализатора класса Frontend Application Security Testing (FAST) значительно снижает данный риск).
Это связано с подключением скриптов партнеров из внешних источников и возможным запуском вредоносного поведения при определенных условиях (например, запуск после определенной даты). Комплексные условия запуска (часовой пояс, геолокация, операционная система, язык браузера, версия браузера и т.п.) обнаруживаются FAST-анализатором по аномалиям в вызовах API-браузера.
Поэтому компенсирующие меры необходимо реализовывать не только для векторов, но и для способов реализации (способов монетизации или достижения других целей злоумышленника), что достигается проведением регулярного анализа поведения продуктивной версии приложения после релиза.
Оценка рисков
Для векторов проникновения вредоносного кода в frontend-приложения целесообразно оценивать величину риска в зависимости от вероятности и ущерба. Их значения определены экспертно на основании количества затрагиваемых данной угрозой пользователей (например, вредоносный код в расширении браузера затрагивает только пользователей, у которых установлено данное расширение, а попадание вредоносного кода в приложение через NPM-зависимость затрагивает всех пользователей).
Если вредоносный код попал в приложение, злоумышленник может использовать любой способ реализации, поэтому всем угрозам (сущностям) категории «Способ реализации» устанавливается максимальная величина риска (100).
Аналогично для сущностей «Требования регуляторов» и «Небезопасная конфигурация».
Угроза признается неактуальной при величине риска < 25.
Компенсирующие меры
Для каждой угрозы указаны компенсирующие меры, как встроенные механизмы безопасности браузера (например, Content Security Policy (CSP)), так и сторонние (например, использование FAST-анализатора).
Для каждой компенсирующей меры экспертно определена ее эффективность по снижению данного риска, а также описано обоснование определения эффективности.
Обратите внимание, что Content Security Policy (CSP) в зависимости от используемых директив имеет разную эффективность, поэтому по умолчанию ее показатель эффективности снижен (см. столбец обоснование).
План обработки рисков
На основании отмеченных при генерации модели угроз реализованных защитных мер, генерируется план обработки рисков (остаточных рисков). Компенсирующие меры ранжируются по экономической эффективности (величина снижения риска / ресурсы на внедрение).
Обратная связь
Вопросы / предложения по улучшению сервиса моделирования угроз для frontend-приложений можно направлять по адресу threatmodel@dpa-analytics.ru