问：威胁建模是有用的防御机制吗？真的可以和黑客一样思考吗？

　　答：目前，威胁建模对安全专家来说是一种难以置信的有用的工具。进行威胁建模的训练，可以遵循一下的步骤。

　　首先，广泛考虑企业中最有价值的信息资产、重要的计算机资源以及他们的位置。

　　下一步，讨论一下细节，谁可能攻击你的企业，为什么。这些就是威胁。网络罪犯会攻击你吗？单一民族国家会吗？内部威胁呢？不要忘了考虑安装在环境内部的飘忽不定的蠕虫。目前的威胁不是全部都是人为的。

　　第三，基于你的威胁清单，开始考虑他们如何攻击你。最简单的方法是什么？取得详细的信息，不要马上列出你的同事也可以想到的各种怪异的想法。当威胁和漏洞重叠的时候，风险就出现了。

　　最后，考虑你已经采取的应对这些风险的对策。你的防御可以阻止你阐明的情景中的攻击吗如果不能，你可以在最低程度上快速删除不当之处并立即作出回应吗？

　　当然，你不能使用恶意人士和恶意软件攻击你的所有方法。攻击者都是创造性的，并在不断革新。还有一句老生常谈：你不能总是和攻击者想到的一样，但是你可以有时和他们想的存在某些相同之处。因此，确保你最少可以防御你的团队考虑到的最常见和破坏最大的攻击。不采用这些基本的威胁建模，你可能会受到可预测的、很明显的攻击，而这些攻击原本应该可以防御的。

　　OWASP（Open Web Application Security Project）的团队已经总结了各种威胁建模方法大纲，这是从微软自己的程序中获得的灵感。这份摘要描述了确定去也最大威胁和相关风险的不同方法。很多公司也正在开发自动威胁建模软件，包括Skybox Security。