Durante la fase de diseño, que es mejor, identificar los mecanismos de seguridad y las técnicas que se utilizarán para proteger el sistema (como seleccionar el algoritmo de cifrado adecuado) antes de crear el modelo de amenaza o durante la creación del modelo de amenaza.
Solo quiero saber en qué paso de la fase de diseño deberíamos identificar los mecanismos y técnicas de seguridad que se utilizarán para proteger el sistema
No es una cuestión de cuál es mejor, en gran medida estas actividades se unen.
Por ejemplo, algunas de las amenazas triviales (por ejemplo, inyección SQL y XSS) se pueden mitigar de manera adecuada por adelantado, al elegir el diseño apropiado, usar la tecnología adecuada y definir las pautas de codificación relevantes.
Por otro lado, la mayoría de los mecanismos y mitigaciones de seguridad son irrelevantes, hasta que entienda las amenazas que está tratando de mitigar.
Y otro punto a considerar es que cualquier mecanismo de seguridad que implementes, también debe ser modelado por amenazas. Sí, a veces un "mecanismo de seguridad" en realidad introduce NUEVAS amenazas, y esto debe considerarse cuidadosamente. (Por ejemplo, anti-virus ...)
Por lo tanto, conclusión: un enfoque iterativo es mejor, involucrando el modelado de amenazas como parte de la construcción del diseño.
Al igual que hace el diseño del sistema de forma iterativa, primero la arquitectura general, luego el diseño detallado, luego los módulos / características / lo que sea, para cada iteración debe haber una TM relevante. Así por ejemplo post-arquitectura / pre-diseño puedes construir un TM trivial; ¡A medida que te metes en más detalles, TM esos detalles a medida que avanzas!
Estoy de acuerdo con lo que dice AviD, e iría un paso más allá.
Piense en el modelado de amenazas como un conjunto de actividades, y diferentes actividades de modelado de amenazas ocurren en diferentes momentos. La amplitud inicial durante el diseño lo ayuda a encontrar amenazas en general, y la profundización durante la implementación lo ayuda a encontrar las amenazas contra las defensas que está construyendo (esto puede considerarse como diseñar casos de prueba).
Si eres visual, esta interacción triangular entre amenazas, mitigaciones y requisitos puede ser útil. ( enlace (actualizado para solucionar problemas de enlaces rotos) )
Así que recorrerás una y otra vez entre 'aquí hay un diseño; eso permite estos problemas, así que cambiamos el diseño y luego consideramos qué puede salir mal ".
Lea otras preguntas en las etiquetas threat-modeling