作為風(fēng)險(xiǎn)管理策略的一部分，識(shí)別系統(tǒng)面臨的安全威脅是緩解潛在漏洞的重要步驟。但就其本身而言，識(shí)別威脅并不足以抵御攻擊。

IT團(tuán)隊(duì)和安全工程師必須通過(guò)利用威脅建模來(lái)更進(jìn)一步，以主動(dòng)、系統(tǒng)地評(píng)估和防御組織面臨的各種威脅。下文將介紹威脅建模的含義、工作原理、主流威脅建?？蚣堋⒐ぞ咭约皟?yōu)秀實(shí)踐。

什么是威脅？

威脅是一個(gè)或一組惡意行為者認(rèn)為妥協(xié)解決方案是有價(jià)值的。不同的威脅行為者將有不同程度的動(dòng)機(jī)和技能來(lái)利用漏洞。而漏洞的可用性將取決于對(duì)現(xiàn)存事物的了解、所需的訪問(wèn)級(jí)別以及已實(shí)施的任何緩解措施。

出于討論目的，我們將假設(shè)以下主要威脅行為者：

• 高級(jí)持續(xù)威脅(APT)——高能力、高積極性、高容量，包括直接或間接由國(guó)家支持的團(tuán)體，例如一些有組織的犯罪集團(tuán)(OCG);
• 組織的犯罪集團(tuán)(OCG)——能力不等、動(dòng)機(jī)不同、容量有限，非國(guó)家支持的團(tuán)體;
• 動(dòng)機(jī)型外部個(gè)體——能力不等、動(dòng)機(jī)不同、容量有限，不同的贊助體
• 內(nèi)部威脅——可以直接訪問(wèn)解決方案的設(shè)計(jì)、實(shí)施、操作或使用的人員。

什么是威脅建模？

威脅建模是一種基于工程和風(fēng)險(xiǎn)的方法，用于識(shí)別、評(píng)估和管理安全威脅，旨在開(kāi)發(fā)和部署符合企業(yè)組織安全和風(fēng)險(xiǎn)目標(biāo)的更好軟件和IT系統(tǒng)。它可以分為幾個(gè)不同的階段：

• 威脅識(shí)別：團(tuán)隊(duì)通過(guò)了解自己的系統(tǒng)可能容易受到哪些威脅來(lái)開(kāi)始威脅建模。
• 威脅評(píng)估：識(shí)別威脅后，團(tuán)隊(duì)評(píng)估每個(gè)威脅，以確定它們變成真正攻擊的可能性，以及這種攻擊的影響。
• 緩解計(jì)劃：一旦威脅得到充分評(píng)估，組織就能確定可以采取哪些步驟來(lái)防止每個(gè)威脅變成成功的攻擊;
• 緩解實(shí)施：然后組織可以實(shí)施緩解策略以提供針對(duì)威脅的主動(dòng)防御;
• 反饋和改進(jìn)：最后一步是確定整個(gè)威脅建模過(guò)程的運(yùn)行情況，然后采取措施進(jìn)行改進(jìn)。如果團(tuán)隊(duì)未能預(yù)見(jiàn)到導(dǎo)致攻擊的某些威脅類型，或是沒(méi)有實(shí)施適當(dāng)?shù)耐{緩解措施，那么在此階段可以著手解決這些問(wèn)題。

通過(guò)遵循這些步驟，團(tuán)隊(duì)可以采取系統(tǒng)的、高度結(jié)構(gòu)化的方法來(lái)識(shí)別威脅，作為其軟件開(kāi)發(fā)生命周期的一部分。他們還能獲得主動(dòng)威脅響應(yīng)能力，而非坐等實(shí)際攻擊開(kāi)始再計(jì)劃響應(yīng)措施。

威脅建?？蓱?yīng)用于任何類型的IT資源。您可以在應(yīng)用程序、服務(wù)器、本地環(huán)境、公共云等上執(zhí)行威脅建模。

威脅建模還可用于幫助管理任何類型的威脅——從DDoS和勒索軟件攻擊到內(nèi)部威脅和意外的數(shù)據(jù)泄露，威脅建模技術(shù)是在風(fēng)險(xiǎn)引發(fā)現(xiàn)實(shí)安全事件之前提前進(jìn)行預(yù)防的有效方法。

也就是說(shuō)，威脅建模技術(shù)可能會(huì)因您關(guān)注的資源和威脅類型而異。例如，適用于本地環(huán)境的威脅管理策略，在某些重要方面與適用于公共云的威脅管理策略不同，因?yàn)榻M織與云服務(wù)提供商建立了責(zé)任共擔(dān)模型，因此需要不同的緩解策略。

威脅建模的意義

通過(guò)對(duì)安全威脅進(jìn)行系統(tǒng)的、結(jié)構(gòu)化的響應(yīng)，威脅建模有一系列優(yōu)勢(shì)：

• 威脅優(yōu)先級(jí)——有些威脅比其他威脅更嚴(yán)重。例如，針對(duì)開(kāi)發(fā)/測(cè)試環(huán)境的威脅可能不如影響生產(chǎn)系統(tǒng)的威脅那么嚴(yán)重。 評(píng)估每個(gè)威脅的潛在嚴(yán)重性有助于團(tuán)隊(duì)確定在緩解過(guò)程中優(yōu)先考慮哪些威脅；
• 主動(dòng)響應(yīng)——如上所述，威脅建模允許組織采取主動(dòng)的方法進(jìn)行威脅管理。他們可以比攻擊者領(lǐng)先一步，而非等待攻擊發(fā)生然后才做出響應(yīng);
• 識(shí)別新的威脅類型——隨著攻擊者不斷發(fā)現(xiàn)新的漏洞并開(kāi)發(fā)新的漏洞利用技術(shù)，威脅形勢(shì)正在不斷變化。通過(guò)允許團(tuán)隊(duì)評(píng)估可能影響他們的現(xiàn)有威脅，威脅建模能夠幫助企業(yè)領(lǐng)先一步識(shí)別新興威脅;
• 改進(jìn)安全態(tài)勢(shì)——有時(shí)，緩解威脅的最佳方法是更改您的系統(tǒng)設(shè)計(jì)。例如，也許您有一個(gè)面向公眾的資源，可以將其移到防火墻后以緩解基于網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。在這些情況下，威脅建模可幫助企業(yè)采取措施強(qiáng)化其基礎(chǔ)安全態(tài)勢(shì)并減少攻擊面；
• 更有效地利用資源——可用于IT安全的資源總是有限的。通過(guò)啟用系統(tǒng)化的威脅管理方法，威脅建?？蓭椭髽I(yè)從現(xiàn)有資源中獲取最大程度的保護(hù)力度；
• 溝通——威脅建模使團(tuán)隊(duì)更容易以一致、集中的方式就威脅進(jìn)行溝通。與其只關(guān)注可能影響各自管理的特定系統(tǒng)的威脅，每個(gè)工程師和開(kāi)發(fā)人員團(tuán)隊(duì)可以在整個(gè)組織內(nèi)共享威脅評(píng)估信息和見(jiàn)解，并共同努力緩解它們；
• 證明對(duì)安全性的承諾——執(zhí)行威脅建模的簡(jiǎn)單行為有助于證明企業(yè)非常重視安全。這對(duì)于審計(jì)和合規(guī)目的可能很重要，尤其是在合規(guī)要求包括需要組織采取合理措施來(lái)保護(hù)敏感數(shù)據(jù)和應(yīng)用程序的情況下。

威脅建模優(yōu)秀實(shí)踐

最有效的威脅建模策略需要植根于以下幾個(gè)核心優(yōu)秀實(shí)踐：

(1) 與其他團(tuán)隊(duì)合作

在許多企業(yè)中，IT組織分為不同的團(tuán)隊(duì)，每個(gè)團(tuán)隊(duì)管理自己的系統(tǒng)和資源。

與其讓每個(gè)團(tuán)隊(duì)創(chuàng)建自己的威脅模型并根據(jù)需要緩解威脅，不如努力在整個(gè)組織內(nèi)就威脅建模進(jìn)行協(xié)作。很可能一個(gè)團(tuán)隊(duì)面臨的一些威脅也會(huì)影響其他團(tuán)隊(duì)。在威脅建模方面進(jìn)行協(xié)作可以更有效地利用資源，同時(shí)還允許團(tuán)隊(duì)分享可能促成更有效的威脅緩解策略的見(jiàn)解。

(2) 整體地評(píng)估威脅

通常情況下，對(duì)一種資源的威脅可能會(huì)導(dǎo)致對(duì)下游資源的間接威脅。例如，如果攻擊者破壞應(yīng)用程序，對(duì)應(yīng)用程序的威脅也可能危及應(yīng)用程序訪問(wèn)的數(shù)據(jù)。

出于這個(gè)原因，重要的是要整體地評(píng)估威脅，而非孤立地評(píng)估。評(píng)估每個(gè)威脅的潛在嚴(yán)重性，不僅要根據(jù)它所威脅的主要資源，還要根據(jù)它可能對(duì)企業(yè)造成的整體損害。

同樣地，需要采取措施在多個(gè)層面減輕威脅。例如，如果針對(duì)應(yīng)用程序安全的威脅對(duì)數(shù)據(jù)安全造成了間接損害，那么您可以在應(yīng)用程序和數(shù)據(jù)中采取措施來(lái)幫助緩解威脅。您可能需要對(duì)應(yīng)用程序進(jìn)行雙重身份驗(yàn)證以降低違規(guī)風(fēng)險(xiǎn)，同時(shí)還需要實(shí)施數(shù)據(jù)的異地備份，以便在應(yīng)用程序違規(guī)允許攻擊者訪問(wèn)數(shù)據(jù)的情況下，您能擁有一份干凈的副本并以此拒絕贖金勒索。

(3) 全面思考威脅

將威脅建模重點(diǎn)放在與最近備受矚目的攻擊相關(guān)的威脅上，或者您的企業(yè)過(guò)去面臨的威脅上，這可能聽(tīng)起來(lái)很合理。但是，最好的威脅建模策略需要涵蓋可能影響業(yè)務(wù)的每一個(gè)威脅——無(wú)論它的新聞價(jià)值如何，或者它過(guò)去是否曾轉(zhuǎn)化為現(xiàn)實(shí)攻擊。在識(shí)別威脅時(shí)，不僅要查看網(wǎng)絡(luò)安全博客以了解最近的違規(guī)情況，還要查看威脅數(shù)據(jù)庫(kù)和威脅情報(bào)報(bào)告，以深入了解您的團(tuán)隊(duì)可能不會(huì)考慮的威脅類型。

(4) 在開(kāi)發(fā)生命周期的早期執(zhí)行威脅建模

創(chuàng)建威脅模型的最佳時(shí)間是在項(xiàng)目或應(yīng)用程序開(kāi)發(fā)實(shí)踐開(kāi)始時(shí)。那時(shí)，在您的系統(tǒng)中建立威脅防御能力相對(duì)更容易。

如果您等到已經(jīng)編寫(xiě)了代碼，或者（更糟）等到它已經(jīng)部署到生產(chǎn)環(huán)境中，您可能會(huì)發(fā)現(xiàn)實(shí)施最佳威脅緩解措施要困難得多。這樣做可能需要更改您的代碼，這意味著您必須重新構(gòu)建、重新測(cè)試和重新部署，這無(wú)疑是一個(gè)耗時(shí)且低效的過(guò)程。

(5) 超越應(yīng)用程序進(jìn)行思考

在執(zhí)行威脅建模時(shí)，很容易只關(guān)注應(yīng)用程序，而非應(yīng)用程序所在的更廣泛的環(huán)境。畢竟，應(yīng)用程序通常是您用戶體驗(yàn)的核心。其他一切都只是陪襯。

但在安全性方面，環(huán)境任何層和開(kāi)發(fā)生命周期任何階段的威脅都可能變成漏洞。這就是為什么您不僅應(yīng)該考慮您的應(yīng)用程序，還應(yīng)該考慮針對(duì)托管它們的服務(wù)器或云基礎(chǔ)設(shè)施的威脅。如果您在容器中部署應(yīng)用程序，那么還必須考慮對(duì)容器注冊(cè)表、容器映像和容器編排工具的威脅。并且不要忘記可能影響數(shù)據(jù)的威脅，例如配置不當(dāng)?shù)腎AM角色可能會(huì)將您的云存儲(chǔ)桶暴露給公眾。

威脅建模方法

有多種方法可用于幫助團(tuán)隊(duì)構(gòu)建其威脅建模流程：

(1) 攻擊樹(shù)（Attack tree）：使用這種方法，可以將威脅建模為一組路徑（或樹(shù)），以確定哪些資源會(huì)受到與每個(gè)威脅相關(guān)的攻擊的影響。當(dāng)擁有大量高度相互依賴的資源，并且想知道哪些直接和間接威脅會(huì)影響每個(gè)資源時(shí)，攻擊樹(shù)非常有用。

(2) 安全卡（Security card）：安全卡技術(shù)采用開(kāi)放式方法進(jìn)行威脅建模。它基于一組42張卡片，詢問(wèn)有關(guān)組織面臨的威脅問(wèn)題。通過(guò)處理這些卡片，團(tuán)隊(duì)可以思考他們面臨的威脅以及緩解這些威脅的策略。

(3) PASTA（攻擊模擬和威脅分析流程）：PASTA技術(shù)專注于幫助團(tuán)隊(duì)根據(jù)業(yè)務(wù)優(yōu)先級(jí)評(píng)估威脅。它首先確定業(yè)務(wù)目標(biāo)和支持它們所需的技術(shù)資源。然后，團(tuán)隊(duì)確定哪些威脅可能會(huì)影響這些資源——進(jìn)而，他們會(huì)發(fā)現(xiàn)可能危及業(yè)務(wù)優(yōu)先級(jí)的威脅。它由七個(gè)步驟組成，且每個(gè)步驟都非常復(fù)雜，由多個(gè)子步驟組成，但是總體順序如下：

• 定義目標(biāo);
• 定義技術(shù)范圍;
• 應(yīng)用程序分解;
• 威脅分析;
• 漏洞和弱點(diǎn)分析;
• 攻擊建模;
• 風(fēng)險(xiǎn)與影響分析。

(4) STRIDE：是威脅建模之父，最早于90年代末由微軟提出。STRIDE代表六種威脅，每種威脅都違反了 CIA的變體的特定屬性：

• 欺騙(Spoofing)，冒充真實(shí)性的他人或計(jì)算機(jī);
• 篡改數(shù)據(jù)(Tampering)，破壞完整性;
• 抵賴(Repudiation)，或無(wú)法將您執(zhí)行的操作鏈接到您，這違反了不可抵賴性;
• 信息泄露(Information Disclosure)，違反機(jī)密性;
• 拒絕服務(wù)(Denial of Service)，違反了可用性;
• 特權(quán)提升(Privilege Escalation)，違反授權(quán);

STRIDE方法背后的核心概念是按類型劃分威脅，然后根據(jù)威脅所屬的類別對(duì)每個(gè)威脅做出響應(yīng)。

威脅建模工具

威脅建模工具集成了一組核心功能，用于在單個(gè)平臺(tái)內(nèi)發(fā)現(xiàn)、分析和緩解威脅。威脅建模工具的主要功能包括：

• 威脅情報(bào)數(shù)據(jù)：威脅情報(bào)是關(guān)于已知威脅的信息。它通常是從主要漏洞數(shù)據(jù)庫(kù)中收集的，例如NIST國(guó)家漏洞數(shù)據(jù)庫(kù)和MITRE的通用攻擊模式枚舉和分類(CAPEC)。
• 威脅可視化：大多數(shù)威脅建模工具都提供可視化功能，例如將威脅映射到IT環(huán)境不同部分的圖表，以幫助團(tuán)隊(duì)分析威脅。
• 威脅監(jiān)控：監(jiān)控功能(例如儀表板)允許團(tuán)隊(duì)跟蹤他們已識(shí)別的威脅并驗(yàn)證威脅是否得到有效緩解。
• 報(bào)告：通過(guò)生成有關(guān)威脅的報(bào)告，組織可以跟蹤其威脅識(shí)別和緩解效果。

許多軟件供應(yīng)商提供的工具都具有旨在幫助團(tuán)隊(duì)執(zhí)行威脅建模的功能。 例如，Microsoft威脅建模工具是一種可下載的Windows桌面應(yīng)用程序，是一種流行的選擇；ThreatModeler是一個(gè)類似的基于Web的威脅建模平臺(tái)；OWASP的Threat Dragon和pytm工具是廣泛使用的開(kāi)源威脅建模工具。

威脅建模用例

想要了解如何將威脅建模付諸實(shí)踐，了解一些常見(jiàn)的用例或?qū)嶋H威脅建模示例可能會(huì)很有幫助。

(1) 云威脅建模

當(dāng)工作負(fù)載從本地遷移到云端時(shí)，面臨的威脅可能會(huì)發(fā)生巨大變化。缺乏物理安全性的問(wèn)題基本上消失了，但出現(xiàn)了諸如不安全的IAM配置之類的新威脅。

團(tuán)隊(duì)可以使用云威脅建模，來(lái)幫助識(shí)別和管理在云遷移期間和之后影響工作負(fù)載的風(fēng)險(xiǎn)。通過(guò)這種方式，云威脅建模使他們能夠預(yù)測(cè)如果堅(jiān)持使用與本地相同的安全策略將無(wú)法解決的風(fēng)險(xiǎn)。

(2) 網(wǎng)絡(luò)威脅建模

網(wǎng)絡(luò)傳播的威脅在范圍和形式上可能會(huì)有很大差異，具體取決于網(wǎng)絡(luò)的配置方式以及它們對(duì)公共互聯(lián)網(wǎng)的暴露程度。使用虛擬網(wǎng)絡(luò)等云服務(wù)無(wú)疑又為網(wǎng)絡(luò)威脅增加了另一層復(fù)雜性。

專注于網(wǎng)絡(luò)的威脅建模提供了一種評(píng)估和管理這些威脅的方法。它還可以幫助團(tuán)隊(duì)了解其網(wǎng)絡(luò)架構(gòu)固有的安全優(yōu)勢(shì)和劣勢(shì)，并采取措施進(jìn)行改進(jìn)。

(3) 容器的威脅建模

將工作負(fù)載從虛擬機(jī)轉(zhuǎn)移到容器也會(huì)帶來(lái)新的威脅，例如惡意軟件可能潛入容器映像或不安全的容器注冊(cè)表訪問(wèn)控制。對(duì)這些威脅進(jìn)行建模使團(tuán)隊(duì)能夠識(shí)別、理解并采取措施緩解可能影響容器化環(huán)境的特殊威脅。

結(jié)語(yǔ)

簡(jiǎn)而言之，威脅建模使企業(yè)能夠領(lǐng)先于安全威脅，無(wú)論威脅采取何種形式或針對(duì)哪種類型的資源。雖然威脅建模需要一些前期的時(shí)間投資，但當(dāng)它允許團(tuán)隊(duì)主動(dòng)響應(yīng)威脅時(shí)，將產(chǎn)生巨大的好處。相較于不加以控制可能帶來(lái)的高昂攻擊代價(jià)，還是值得投入的！

原文鏈接：https://cloudsecurityalliance.org/blog/2022/04/21/threat-modelling-what-it-is-and-why-it-matters/