Ambos términos son muy resbaladizos.
Existen múltiples metodologías de análisis de riesgos y utilizan un vocabulario diferente y diferentes suposiciones. FAIR y la analogía de los neumáticos son una buena introducción, y si puedes encontrar el video de Tony Cox, esa es otra buena fuente. NIST 800-37 es una metodología alternativa. OWASP tiene otro.
El modelado de amenazas está pasando por un renacimiento: hice una búsqueda en Google y encontré el enlace OWASP que @ Límite provisto (y Limit merece el crédito porque ese es su mejor, primera fuente) y media docena más. Pero hay modelos de amenaza NIST , y algunos pensamientos realmente creativos sobre una jerarquía de indicadores de compromiso. (Deberá buscar en la blogósfera, Bloor , OpenIOC , Chuvakin - No puedo encontrar la que quiero que muestre claramente un diagrama jerárquico). El resumen aquí es que estamos en un punto de inflexión: ahora podemos recopilar suficientes datos y hacer suficientes análisis para aprovechar la inteligencia de amenazas para producir ganancias reales en la seguridad. Hace una década, el modelado de amenazas era principalmente teórico y no tenía un impacto tan fuerte.
Personalmente hago una evaluación de riesgos & Primero el análisis, pero tengo que hacer un modelo preliminar de amenaza durante el análisis de riesgo. Mi líder tecnológico hace lo contrario, pero tiene años de hacer modelado avanzado de amenazas.
No puedo darte un ejemplo de un modelo de amenaza: los modelos de amenaza son caros de producir y no los regalamos. Pero si sabe que el 30% del malware que llega a su red usa un conjunto de herramientas de malware, puede configurar sus defensas para aprovechar eso. O si sabe que en todas las diferentes campañas de malware, el 70% de ellas intenta la exfiltración como carga / misión, entonces eso influirá en cómo invierte y configura sus defensas. Los modelos de amenazas te dicen lo que quiere tu adversario; Si sabes lo que quiere el adversario, tienes la oportunidad de negarlo de manera más efectiva.