THREAT MODELING

AI threat modeling με STRIDE: η μέθοδος των 5 βημάτων για κάθε LLM

14 Ιουνίου 2026 · 3′ ανάγνωση

Η λέξη «απειλές» μένει χωρίς νόημα όσο δεν έχεις απαντήσει πρώτα σε ένα ερώτημα: απειλή απέναντι σε τι;

Ξεκίνα από τα assets

Μια απειλή δεν αιωρείται στο κενό· είναι πάντα απειλή απέναντι σε κάτι που έχεις αποφασίσει ότι αξίζει να προστατεύσεις. Αν ρωτήσεις «ποιες είναι οι απειλές για ένα μαγαζί;», το πιθανότερο είναι να εισπράξεις ένα ανασήκωμα των ώμων. Αν όμως ρωτήσεις «τι ακριβώς προστατεύουμε, το εμπόρευμα, το ταμείο, το όνομα ή τη δυνατότητα να μένει ανοιχτό;», τότε οι απειλές αναδεικνύονται σχεδόν από μόνες τους. Για ένα προϊόν AI, τα assets είναι συνήθως το ίδιο το σύστημα, το περιεχόμενο που παράγει, τα δεδομένα των χρηστών, η πρόσβαση στους λογαριασμούς και η φήμη.

STRIDE: έξι κατηγορίες, χωρίς παραλείψεις

Για το επόμενο βήμα, ένα checklist σαράντα ετών εξακολουθεί να κάνει τη δουλειά. Το STRIDE καλύπτει το Spoofing, το Tampering, το Repudiation, το Information disclosure, το Denial of service και το Elevation of privilege. Περνάς το σύστημά σου μπροστά από κάθε κατηγορία, ώστε να μην προσπεράσεις σιωπηλά μια ολόκληρη κατηγορία κινδύνου. Δουλεύοντας με το ένστικτο, συνήθως καλύπτεις τις πέντε από τις έξι· εκείνη που ξεχνιέται σχεδόν πάντα είναι το Repudiation, δηλαδή η απουσία ίχνους. Κάτι πηγαίνει στραβά και δεν υπάρχει κανένα log για να αποδείξει ποιος έκανε τι και πότε. Δεν είναι λεπτομέρεια αυτό· είναι ακριβώς ο λόγος για τον οποίο ο EU AI Act επιβάλλει την τήρηση αρχείων.

Η μέθοδος από την αρχή ως το τέλος

Η μέθοδος, συνολικά, ξετυλίγεται σε πέντε βήματα. Πρώτα ορίζεις τι προστατεύεις, δηλαδή τα assets. Έπειτα εξετάζεις τι μπορεί να πάει στραβά, με οδηγό το STRIDE. Στη συνέχεια ρωτάς αν υπάρχει επιτιθέμενος, γιατί αν δεν υπάρχει το ζήτημα είναι safety ή διακυβέρνησης, ενώ αν υπάρχει συνεχίζεις παρακάτω. Μετά κοιτάς πώς ακριβώς γίνεται η επίθεση, περνώντας από την τακτική στη συγκεκριμένη τεχνική με τη βοήθεια του MITRE ATLAS. Και τέλος καταλήγεις στη μετρίαση κάθε κινδύνου.

Αν χτίζεις οτιδήποτε με LLM μέσα, μπορείς να τρέξεις αυτά τα βήματα σε έναν πίνακα μέσα σε ένα απόγευμα, και η τεκμηρίωση που προκύπτει γίνεται στη συνέχεια audit-ready με το NIST AI RMF.

Έχεις χαρτογραφήσει τα assets των AI συστημάτων σου;

Ο Έλεγχος Θωράκισης κάνει το threat modeling για εσένα, από τα assets και το STRIDE μέχρι τις μετριάσεις, ιεραρχημένα κατά προτεραιότητα. Προηγείται μια δωρεάν συνεδρία 45 λεπτών.

Κλείστε δωρεάν συνεδρία

← Όλα τα άρθρα