筆記：

同樣重要的是要記住，這種方法不會(huì)立即突出整個(gè)系統(tǒng)中風(fēng)險(xiǎn)的出現(xiàn)。這只是將適當(dāng)?shù)娜罩驹匆肽?SOC 系統(tǒng)，此時(shí)可以考慮系統(tǒng)范圍的風(fēng)險(xiǎn)。有關(guān)識(shí)別系統(tǒng)范圍風(fēng)險(xiǎn)的更多信息，請(qǐng)參閱檢測(cè)。

需要注意的是，執(zhí)行威脅建模的方法有很多種，這只是有關(guān)如何開(kāi)始組件級(jí)分析的指南。它大致遵循攻擊樹(shù)方法，但重點(diǎn)是識(shí)別最有價(jià)值的日志源和適當(dāng)?shù)臋z測(cè)用例。

威脅建模流程

上圖描述了使組織能夠系統(tǒng)地分析系統(tǒng)潛在風(fēng)險(xiǎn)、識(shí)別攻擊向量和日志源的過(guò)程。然后，該信息也可以用作創(chuàng)建一套檢測(cè)的基礎(chǔ)。我們將在下面詳細(xì)探討每個(gè)步驟。

成分

威脅建模的第一步是確定：

• 用戶與您的系統(tǒng)交互
• 數(shù)據(jù)流入或流出您的系統(tǒng)

這通常稱為系統(tǒng)的攻擊面。

識(shí)別用戶、數(shù)據(jù)流和攻擊面將使您能夠開(kāi)始識(shí)別系統(tǒng)上的潛在風(fēng)險(xiǎn)和攻擊。

作為一個(gè)非常簡(jiǎn)單的示例，Web 服務(wù)器具有驗(yàn)證和提交信息的用戶。它存儲(chǔ)敏感數(shù)據(jù)并面向公眾。因此，該服務(wù)器將被視為對(duì)攻擊者有吸引力的攻擊目標(biāo)。這意味著該服務(wù)器將被視為潛在的攻擊媒介。

圖片

風(fēng)險(xiǎn)

簡(jiǎn)而言之，下一步就是找出可能出現(xiàn)問(wèn)題的地方。會(huì)發(fā)生什么情況會(huì)影響系統(tǒng)的安全？

機(jī)密 性、完整性和可用性 (CIA) 模型在這里很有用，它為您提供了一種枚舉潛在風(fēng)險(xiǎn)的簡(jiǎn)潔方法。同樣，您還可以應(yīng)用其他方法對(duì)威脅或攻擊類型進(jìn)行分類，例如STRIDE 模型，以獲得更深入的效果。

將 CIA 模型應(yīng)用到我們之前的 Web 服務(wù)器示例中是有啟發(fā)性的。我們發(fā)現(xiàn)，由于 Web 服務(wù)器處理客戶數(shù)據(jù)，因此如果服務(wù)器遭到破壞，該數(shù)據(jù)的機(jī)密性就會(huì)面臨風(fēng)險(xiǎn)。

如果身份驗(yàn)證控制失敗，那么除了獲得未經(jīng)授權(quán)的訪問(wèn)并損害存儲(chǔ)數(shù)據(jù)的機(jī)密性之外，攻擊者還可以利用該訪問(wèn)權(quán)限對(duì)數(shù)據(jù)進(jìn)行未經(jīng)授權(quán)的更改，損害其完整性或刪除存儲(chǔ)的數(shù)據(jù)，使其對(duì)授權(quán)用戶不可用。

這種風(fēng)險(xiǎn)分析至關(guān)重要，因?yàn)樗梢院侠砘M織內(nèi)特定組件的監(jiān)控。突出的風(fēng)險(xiǎn)還可以幫助指導(dǎo)檢測(cè)用例的開(kāi)發(fā)。（有關(guān)更多信息，請(qǐng)參閱檢測(cè)）。

攻擊圖V1

圖片

注意：還可以擴(kuò)展風(fēng)險(xiǎn)分析，以涵蓋風(fēng)險(xiǎn)發(fā)生后對(duì)您業(yè)務(wù)的潛在影響。這可以幫助利益相關(guān)者了解潛在的結(jié)果，并幫助確定入職行動(dòng)的優(yōu)先順序。

威脅者

接下來(lái)，您應(yīng)該設(shè)法了解可能嘗試攻擊或惡意影響您的系統(tǒng)的用戶或參與者。

每一類參與者都會(huì)以不同的方式與系統(tǒng)進(jìn)行交互。例如，專家攻擊者有能力發(fā)起比新手更復(fù)雜的攻擊。同樣，與特權(quán)管理員相比，典型用戶將具有不同級(jí)別的訪問(wèn)權(quán)限。

攻擊圖V2

圖片

攻擊圖的這一部分還認(rèn)為，保護(hù)性監(jiān)控的級(jí)別應(yīng)與組織的威脅狀況成比例（如操作模型部分中所述）。如果您確定您的系統(tǒng)不會(huì)受到最復(fù)雜的攻擊者的攻擊，則不應(yīng)專注于嘗試檢測(cè)它們。相反，請(qǐng)專注于您的系統(tǒng)更有可能遇到的攻擊。

攻擊

此時(shí)您可以客觀地探索每一個(gè)抽象風(fēng)險(xiǎn)。這是詳細(xì)說(shuō)明攻擊“如何”的地方。然后可以使用它將風(fēng)險(xiǎn)鏈接到日志源。

例如，如果風(fēng)險(xiǎn)是用戶數(shù)據(jù)泄露，您只需詳細(xì)說(shuō)明這種情況在您的系統(tǒng)中如何發(fā)生。它不必非常詳細(xì)，并且仍然可以非常抽象，因?yàn)槟繕?biāo)是識(shí)別日志源。此時(shí)，使用MITRE ATT&CK 框架也非常有用，因?yàn)樗梢詭椭R(shí)別對(duì)手可以使用的特定技術(shù)，并幫助您找到最合適的日志源。

攻擊圖V3

圖片

日志來(lái)源

威脅分析的倒數(shù)第二部分及其主要輸出是日志源的識(shí)別。在這里，您可以識(shí)別并列出任何可用的日志源，這些日志源可用于指示您確定的系統(tǒng)內(nèi)可能發(fā)生的任何攻擊。

攻擊圖V4

圖片

檢測(cè)

一旦完成了威脅建模過(guò)程，您就應(yīng)該擁有一個(gè)模型，其中詳細(xì)說(shuō)明了多個(gè)日志源、系統(tǒng)風(fēng)險(xiǎn)以及各種攻擊。然后可以使用該模型來(lái)開(kāi)發(fā)檢測(cè)用例或確保您已經(jīng)擁有適當(dāng)?shù)母采w范圍。（有關(guān)用例的更多信息，請(qǐng)參閱檢測(cè)）

圖片

概括

威脅建模應(yīng)該是周期性的，并且您生成的模型應(yīng)該隨著系統(tǒng)或其面臨的威脅的變化而進(jìn)行審查。

確定了最有價(jià)值的日志數(shù)據(jù)源后，現(xiàn)在應(yīng)該可以開(kāi)始工程流程，將這些信息源引入到 SOC服務(wù)中。