Nataliya Shevchenko、Timothy A.Chick、Paige O'Riordan、Thomas Patrick Scanlon博士和Carol Woody博士
2018年7月
编译 鹰眼翻译社区 樊山
介绍
“威胁建模是集中防御的关键。没有威胁建模,你永远无法停止打鼹鼠。”
——Adam Shostack[14]
如今,几乎所有的软件系统都面临着各种各样的威胁,而且随着技术的变化,越来越多的软件系统被不断添加。这些威胁可能来自组织外部或内部,其影响可能是毁灭性的。系统可能会中断所有工作,或者敏感信息泄露,这将影响消费者对系统提供商的信任。为了防止威胁利用系统缺陷,可以使用威胁建模方法进行防御思考。
威胁建模方法用于创建系统的抽象化;潜在攻击者的简介,包括他们的目标和方法;以及可能出现的潜在威胁目录。已经开发诸多威胁建模方法并非都是全面的;有些侧重于抽象化并鼓励粒度,而另一些则以人为中心。有些方法专门关注风险或隐私问题。威胁建模方法可以结合起来,创建一个更稳健、更全面的潜在威胁视图。
软件系统越来越多地被集成到物理基础设施中,例如智能汽车。这些混合体通常被称为网络物理系统;这个术语解释了它们的多个组成部分。虽然具有创新性,但网络物理系统很容易受到传统物理基础设施制造商不会考虑的威胁。与各种利益相关者一起对网络物理系统进行威胁建模可以帮助捕捉各种威胁类型的威胁。
为了最好地使用威胁建模,应该在开发周期的早期进行。这意味着可以及早发现并解决潜在的问题,从而避免更昂贵的解决方案。通过威胁建模思考安全需求可以导致主动的体系结构决策,从而从一开始就减少威胁。
针对过程的不同部分本文讨论12种来自各种来源的威胁建模方法。不推荐一种威胁建模方法胜过另一种;使用哪种方法的决定应基于项目的需求及其具体关注点。
目录
介绍... 1
STRIDE和相关派生... 3
PASTA.. 4
LINDDUN.. 6
CVSS. 7
攻击树... 8
Persona non Grata. 9
安全卡... 10
hTMM... 11
定量威胁建模方法... 12
Trike. 13
VAST建模... 14
OCTAVE. 14
结论... 15
参考文献... 18
联系我们... 23
STRIDE和相关派生
STRIDE是目前最成熟的威胁建模方法。STRIDE由Loren Kohnfelder和Praerit Garg于1999年发明,并于2002年被微软采用,随着时间的推移,STRIDE已经发展到包括新的特定威胁表以及每个元素的STRIDE和每个交互的STRIDE变体[14,20,40]。
STRIDE评估系统详细设计。(参见图1中的示例。)第一步的目标是对本地系统进行建模。通过构建数据流图(DFD),可以识别系统实体、事件和系统边界[26]。准确的DFD决定了STRIDE的成功程度[15]。然而,使用DFD作为威胁建模的唯一输入是有限制的,因为它不能提供表示安全相关架构决策的方法[13]。
图1:带系统边界的数据流图
第二步的目标是发现威胁。STRIDE根据其名称STRIDE使用一组常见的已知威胁,STRIDE代表欺骗身份、篡改数据、否认、信息披露、拒绝服务和提升特权。(有关威胁类型的定义,请参见表1。)在导航第一阶段创建系统模型[14,20]时,此首字母缩略词可作为发现威胁的助记符。为了帮助完成这一步骤,一些来源提供了清单和表格[14,28],有助于描述威胁、侵犯财产、典型受害者以及攻击者的行为。在收集发现的威胁和缓解策略后,应记录这些信息并确定其优先级[13,15]。
表1:STRIDE威胁类别
|
威胁 |
违反性质 |
威胁定义 |
|
|
S |
欺骗标识 |
身份验证 |
假装自己是某人或某物 |
|
T |
篡改数据 |
完整性 |
修改磁盘、网络、内存或其他地方的内容 |
|
R |
抵赖 |
不可否认性 |
声称你没有做某事或没有责任;可以是诚实的也可以是虚假的 |
|
I |
信息披露 |
保密 |
向未经授权访问的人提供信息 |
|
D |
拒绝服务 |
可利用性 |
耗尽提供服务所需的资源 |
|
E |
特权提升 |
批准 |
允许某人做他们无权做的事情 |
这种方法很容易采用,但可能很耗时[15,14]。STRIDE的主要问题是,随着系统复杂性的增加,威胁的数量可能会迅速增长。Scandariato等人在对微软威胁建模技术的描述性研究中表明,STRIDE方法的假阳性率中等低,假阴性率中等高[28]。STRIDE已成功应用于仅网络和网络物理系统[14,15,20,28,40]。
尽管微软不再维护STRIDE,但它是作为微软安全开发生命周期(SDL)的一部分使用威胁建模工具实现的,该工具仍然可用[29]。
几位作者代表了修改后的STRIDE方法。Martins等人在他们的演讲《网络物理系统的系统威胁建模方法》中,将STRIDE方法与NIST指南一起使用,而不是微软的安全中介策略[30]。微软开发了另一种类似的方法,称为DREAD,它也是一种助记符(潜在损害、可再现性、可利用性、受影响用户、可发现性),具有不同的评估威胁的方法。它将三个值(0、5、10)中的一个分配给前四个类别,将四个值(O、5、9、10)之一分配给最后一个类别,这“允许计算一个平均值来表示整个系统的风险”[3,33]。
PASTA
攻击模拟和威胁分析过程(P.A.S.T.A)是Tony UcedaVélez于2012年开发的一个以风险为中心的威胁建模框架。它包含七个阶段,每个阶段都有多个活动,如图2[31,32,16]所示。
图2:PASTA阶段
PASTA旨在将业务目标和技术要求结合起来[22]。它在不同阶段使用了各种设计和启发工具。例如,在第二阶段使用高级体系结构图来确定技术范围。DFD用于第三阶段。在第六阶段,构建攻击树以及使用和滥用案例,用于分析和攻击建模[31,16]。
该方法通过让关键决策者参与进来,并要求运营、治理、架构和开发部门提供安全投入,将威胁建模过程提升到战略层面[21]。PASTA被广泛认为是一个以风险为中心的框架,它具有以攻击者为中心的观点。最终,该过程以威胁列举和评分的形式产生了以资产为中心的输出[31,21]。
UcedaVélez和Marco Morana为该方法开发了非常丰富的文档,以帮助完成这一艰巨而广泛的过程[32]。
LINDDUN
LINDDUN(可链接性、可识别性、不可否认性、可检测性、信息披露、不知情性、不合规性)是一种关注隐私问题的威胁建模方法,可用于数据安全[12]。与STRIDE类似,该方法是一种助记符,这意味着有问题的威胁类别被编码在方法名称中。LINDDUN由六个步骤组成(见图3),提供了一种系统的隐私评估方法[34,35]。
图3:LINDDUN方法步骤[34]
LINDDUN从系统的DFD开始,该DFD定义了系统的数据流、数据存储、进程和外部实体。LINDDUN用户系统地迭代所有模型元素,并从威胁类别的角度对其进行分析,确定威胁对系统的适用性,并构建威胁树[12,34,35]。
步骤2和3本质上是问卷调查,指导用户完成识别系统中威胁的初始分析过程。步骤2涉及将威胁类别映射到系统中可能出现威胁的部分。(参见图4中的示例。)步骤3涉及识别可能发生这些威胁的场景。该过程的其余部分寻找解决方案和缓解策略[12]。
|
映射模板 |
可链接性 |
可识别性 |
不可否认性 |
可检测性 |
信息披露 |
不知情性 |
政策和文件不合规性 |
|
数据存储 |
× |
× |
× |
× |
× |
× |
|
|
数据流 |
× |
× |
× |
× |
× |
× |
|
|
过程 |
× |
× |
× |
× |
× |
× |
|
|
实体 |
× |
× |
× |
× |
图4:LINDDUN映射步骤[12]
LINDDUN方法的一个强大特点是其广泛的隐私知识库和文档[34]。LINDDUN方法劳动密集且耗时。它面临着与STRIDE相同的问题——随着系统复杂性的增加,威胁的数量可能会迅速增长。Wuyts等人在其演讲《通过领域优化进行有效和高效的隐私威胁建模》中也注意到,该方法的效率和有效性受到一般适用威胁的负面影响[12]。
CVSS
通用漏洞评分系统(CVSS)是一种“捕捉漏洞的主要特征,并产生反映其严重性的数字分数”的方法[37]。
它由NIST开发[38],由事件响应和安全小组论坛(FIRST)[37]维护,并得到CVSS特殊利益小组[44]的支持和贡献。CVSS在不同的网络和网络物理平台内为该方法的用户提供了一个通用的标准化评分系统[37,3]。CVSS分数可以通过在线提供的计算器计算[38]。
如图5所示,CVSS由三个度量组(基本、时间和环境)组成,每个度量组中都有一组度量[37]。
图5:CVSS v3.0度量组[37]
CVSS分数是根据分析师为每个指标分配的值计算获得。用于该过程的方程尚不清楚,但所有指标都在文档中进行了广泛的解释。
该方法被广泛使用,尽管存在一些与不透明的分数计算以及不同评判“专家”可能产生的不一致有关的问题[3]。CVSS方法经常与其他威胁建模方法结合使用。
攻击树
使用攻击树对威胁进行建模是在纯网络系统以及网络物理和物理系统上最古老、应用最广泛的技术之一[3]。它由Bruce Schneider于1999年开发,最初作为自己的方法应用,后来与其他方法和框架相结合[17,3]。
攻击树本质上是以树的形式描述对系统的攻击的图。树根是攻击的目标,树叶是实现该目标的方法[17]。每个目标都表示为一个单独的树。因此,系统威胁分析产生了一组攻击树。
图6:攻击树示例[2]
通常,分解目标需要几次迭代才能构建树。一旦识别了所有的叶节点,就可以分配可能性标记。只有在对该步骤进行相关研究后才能分配这些值[17]。在研究实现目标的不同方法时,很明显,这可以通过多种方式实现。
要将这些不同的选项合并到树中,应该使用AND和OR节点。(见图6;AND节点由一个注释连接,上面写着“AND”,表示必须执行这两个节点才能进入下一步。OR节点都是其他节点。)在复杂系统的情况下,可以为每个组件而不是整个系统构建攻击树[2]。当构建攻击树时,它们可以用于做出安全决策,查看系统是否易受攻击,并评估特定类型的攻击[17]。
攻击树易于理解和采用,但只有在系统和安全问题得到充分理解时才有用。该方法假设分析师具有高度的网络安全专业知识,因此没有提供评估子目标、攻击或风险的指南[2]。
近年来,该方法经常与其他技术结合使用,并在STRIDE、CVSS和PASTA[3,2,31]等框架内使用。
Persona non Grata[1]
作为一种威胁建模方法,Persona-non-Grata(PnG)主要研究人类攻击者的动机和技能。它将用户描述为可能滥用系统的原型,并迫使分析人员从非预期使用的角度来看待系统[23]。
当使用时,PnG可以帮助可视化来自对方的威胁,这在威胁建模的早期阶段很有帮助[15]。其想法是将技术专家“介绍”给系统的潜在攻击者及其技能、动机和目标,帮助专家从另一方了解系统的漏洞和妥协点[15]。
图7:Persona non Grata的例子[15]
PnG易于采用,但很少被使用或研究。它很少产生误报,具有很高的一致性,但往往只检测到威胁类型的特定子集[15]。这种技术非常适合敏捷方法,其中包含了人物角色。[2]
安全卡
安全卡是一种以识别异常和复杂攻击为中心的技术。这不是一种正式的方法,而是一种集思广益的技巧[41]。在一副牌的帮助下(见图8中的示例),分析师可以回答有关攻击的问题,例如“由谁攻击?”“为什么系统会受到攻击?”、“感兴趣的资产是什么?”和“如何实施这些攻击?”[15]。
图8:安全卡示例[15]
该方法使用一副42张牌来促进威胁发现活动:人类影响(9张牌)、对手动机(13张牌),对手资源(11张牌)和对手方法(9张卡)。每个维度中的不同类别如表2所示。
表2:安全卡尺寸
|
人类影响
|
对手的动机
|
对手的资源
|
对手的方法
|
安全卡活动有助于识别几乎所有的威胁类型,但会产生大量误报,并更好地用于解决非标准情况[15]。此外,这种方法在工业中很少使用。
hTMM
混合威胁建模方法(hTMM)由软件工程研究所于2018年开发。它由SQUARE(安全质量要求工程方法)[45]、安全卡和PnG活动的组合组成。该方法的目标特征包括没有误报,没有被忽视的威胁,无论谁在进行威胁建模,都能得到一致的结果,以及成本效益[15]。
以下是该方法的主要步骤:
-
1.识别要进行威胁建模的系统。
-
2.根据开发人员的建议申请安全卡。
-
3.移除不太可能的PnG(即,没有现实的攻击向量)。
-
4.使用工具支持对结果进行总结。
-
5.继续采用正式的风险评估方法。
hTMM应用于网络物理系统的场景[15]。
定量威胁建模方法
这种混合方法由协同应用的攻击树、STRIDE和CVSS方法组成。2016年4月,Bradley Pottiger、Goncalo Martins和Xenofon Koutsoukos在宾夕法尼亚州匹兹堡举行的HotSoS[3]会议上介绍了它。作者旨在解决网络物理系统威胁建模的几个紧迫问题,这些系统的组件之间存在复杂的相互依赖关系[3]。
定量威胁建模方法(Quantitative TMM)的第一步是为STRIDE的五个威胁类别建立组件攻击树。此活动显示攻击类别和低级别组件属性之间的依赖关系。(示例见图9。)之后,应用CVSS方法,并计算树中组件的分数。(见图10。)
图9:组件攻击树[3]
图10:篡改攻击树的CVSS评分[3]
该方法的另一个目标是为单个组件生成攻击端口。这些攻击端口(实际上是组件攻击树的根节点)说明了可以将风险传递给连接组件的活动。评分有助于进行系统风险评估。如果攻击端口依赖于具有高风险分数的组件根节点,则该攻击端口也具有高风险得分,并且被执行的概率很高。反之亦然[3]。
该方法用于铁路通信网络的案例研究。由此产生的文章《用于定量风险评估的软件和以攻击为中心的集成威胁建模》提供了该方法的详细演练[3]。
Trike
Trike是2005年创建的一个安全审计框架,使用威胁建模作为一种技术[15]。它从风险管理和防御的角度来看待威胁建模[42]。
与许多其他方法一样,Trike从定义系统开始。分析师必须通过列举和理解系统的参与者、资产、预期操作和规则来构建需求模型。作为这个步骤的结果,可以创建一个参与者资产动作矩阵,其中列表示资产,行表示参与者。
矩阵的每个单元格应分为四个部分,CRUD的每个操作(创建、读取、更新和删除)都有一个部分。在这些单元格中,分析员应该指定三个值之一:允许的操作、不允许的操作或有规则的操作。每个单元格都应该附加一个规则树[42,43]。
在定义了需求之后,构建了一个DFD。每个元素都映射到一组参与者和资产。通过DFD,分析师识别威胁,分为两类:特权提升或拒绝服务[42,43]。每个发现的威胁都会成为攻击树中的一个根节点[42]。
为了评估可能通过CRUD影响资产的攻击风险,Trike根据其概率对每个行动使用五分制。参与者根据他们被认为对资产构成的风险(较低的数字=较高的风险)按五分制进行评级。此外,参与者在每个资产上可能执行的每个动作都会在三维尺度上进行评估(总是,有时,从不)。
Trike量表体系似乎过于模糊,无法代表正式的方法。不幸的是,Trike 2.0版本没有得到很好的维护,也没有文档,尽管它的网站已经启动并运行。
VAST建模
可视化、敏捷和简单威胁(VAST)建模方法由Anurag Agarwal创建,基于自动威胁建模平台Threat Modeler[15]。该方法的基本价值是可扩展性和可用性,使其能够在整个基础设施的大型组织中采用,为不同的利益相关者产生可操作和可靠的结果[22]。
认识到开发和基础设施团队在操作和关注点方面的差异,VAST需要创建两种类型的模型:应用程序威胁模型和操作威胁模型。应用程序威胁模型使用表示体系结构观点的流程图。作战威胁模型是在DFD[15,22]的基础上,从攻击者的角度创建的。这种方法允许将VAST集成到组织的开发和DevOps生命周期中[22]。
OCTAVE
操作关键威胁、资产和脆弱性评估(OCTAVE)方法是一种基于风险的网络安全战略评估和规划方法[36]。它由软件工程研究所CERT部门于2003年创建,并于2005年进行了改进。OCTAVE专注于评估组织风险,不涉及技术风险。其主要方面是操作风险、安全实践和技术[22,43]。
OCTAVE有三个阶段,如图11[36]所示:
-
1.建立基于资产的威胁档案。(这是一项组织评估。)
-
2.识别基础设施漏洞。(这是对信息基础架构的评估。)
-
3.制定安全战略和计划。(这是对组织关键资产和决策风险的识别。)
图11:OCTAVE阶段[36]
OCTAVE是一个评估活动而不是连续过程。它主要是为大型组织设计,但OCTAVE-S方法是专门为小型(20-80人)组织创建的[36]。方法深入但灵活。OCTAVE的缺点是,该过程需要大量的时间承诺,并且文件庞大且模糊[43]。OCTAVE计划进行更新,可能会影响其负面影响,但具体影响目前尚不清楚。
结论
威胁建模可以帮助您的产品更加安全可靠。本文介绍了12种不同的威胁建模方法。有些通常单独使用,有些通常与其他方法结合使用,还有一些是如何组合不同方法的示例。
选择最适合项目的方法需要考虑是否有任何特定的领域(风险、安全、隐私),您必须执行威胁建模多长时间,您在威胁建模方面有多少经验,利益相关者希望如何参与,等等。表3总结了每种威胁建模方法的一些特点。这些方法都可以在敏捷环境中使用,这取决于sprint的时间框架和建模的重复频率。
表3:威胁建模方法特点
|
威胁建模方法 |
功能 |
|
STRIDE |
|
|
PASTA |
|
|
LINDDUN |
|
|
CVSS |
|
|
攻击树 |
|
|
Persona non Grata |
|
|
安全卡 |
|
|
hTMM |
|
|
定量TMM |
|
|
Trike |
|
|
VAST建模 |
|
|
OCTAVE |
|
参考文献
URL自本文档发布之日起有效。
[1] David,N。;David,A。;汉森,R.R。;拉森,K.G。;Legay,A。;Olesen,M.C.;&Probst,C.W.用时间自动机建模社会技术攻击。第21-28页。第七届ACM CCS内部安全威胁管理国际研讨会论文集。计算机和通信安全会议。2015年10月。DOI 10.1145/2808783.208787。
[2] 张,威胁建模技术[硕士论文]。代尔夫特理工大学。2016年11月。http://www.safety-and-security.nl/uploads/cfsas/attach-ments/SPM5440%20%26%20WM0804TU%20-%20Threat%20modeling%20techniques%20-%20CY%20Cheung.pdf
[3] Pottiger,B。;Martins,G.;&Koutsoukos,X.用于定量风险评估的软件和以攻击为中心的集成威胁建模。第99-108页。安全科学研讨会和训练营论文集。2016年4月。DOI 10.1145/2898775.2898390。
[4] 阿格拉瓦尔A。;Ahmed,C.M.;&张:网络物理系统内部威胁模型的基于物理的攻击检测。第821-823页。2018年亚洲计算机与通信安全会议论文集。2018年6月。DOI 10.1145/3196494.3201587。
[5] Datta,A.和Rahman,M.A.基于风能的电力系统的网络威胁分析框架。第81-92页。2017年网络物理系统安全与隐私研讨会论文集。计算机和通信安全会议。2017年11月。DOI 10.1145/3140241.3140247。
[6] Humayed,A.和Luo,B.智能汽车的网络物理安全:漏洞、威胁和攻击的分类。第252-253页。ACM/IEEE第六届网络物理系统国际会议论文集。2015年4月。DOI 0.1145/2735960.2735992。
[7] Hasan,K。;Shetty,S。;Sokolovski,J.;&Tosh,D.K.网络物理系统安全游戏。第12条。通讯与网络研讨会论文集。2018年4月。https://dl.acm.org/citation.cfm?id=3213212
[8] Allodi,L.和Etalle,S.走向现实威胁建模:攻击商业化、无关漏洞和不切实际的假设。第23-26页。在2017年主动网络防御自动化决策工作坊会议记录中。计算机和通信安全会议。2017年11月。DOI 10.1145/3140368.3140372。
[9] Kreimel,P。;艾格纳,O.;&Tavolato,P.网络物理系统中基于异常的攻击检测和分类。第四十条。第12届可用性、可靠性和安全性国际会议论文集。2017年9月。DOI 10.1145/3098954.103155。
[10] Agadakos,I。;陈。;Campanelli,M。;Anantharaman,P。;哈桑,M。;Copos,B。;Lepoint,T。;Locasto,M。;Ciocarlie,G.F.;&林奎斯特,U。跨越空气间隙:物联网中的网络物理攻击路径建模。第37-48页。2017年网络物理系统安全与隐私研讨会论文集。计算机和通信安全会议。2017年11月。DOI 10.1145/3140241.3140252。
[11] 丁,J。;Atif,Y。;Andler,S.F。;Lindstrom,B.;&Jesufeld,M.基于CPS的关键基础设施保护威胁建模。ACM SIGMETRICS性能评估审查。第45卷。问题2。2017年9月。第129-132页。DOI 10.11453/1152042.3152080
[12] 吴,K。;Van Landuyt,D。;Hovsepyan,A.;&Joosen,W.通过领域细化进行有效和高效的隐私威胁建模。第1175-1178页。第33届ACM应用计算年度研讨会论文集。2018年4月。DOI 10.1145/3167132.3167414。
[13] Sion,L。;Yskout,K。;Van Landuyt,D.;&Joosen,W.用于安全威胁建模的具有解决方案意识的数据流图。第1425-1432页。第33届ACM应用计算年度研讨会论文集。2018年4月。DOI 10.1145/3167132.3167285。
[14] Shostack,A.威胁建模:安全设计。威利,2014年。是978-1118809990。
[15] 米德,N。;Shull,F。;Vemuru,K.;&一种混合威胁建模方法。CMU/SEI-2018-TN-002。卡内基梅隆大学软件工程研究所。2018年http://resources.sei.cmu.edu/library/asset-view.cfm?AssetID=516617
[16] Shull,F.威胁建模方法的评估。卡内基梅隆大学软件工程研究所。2016http://resources.sei.cmu.edu/library/asset-view.cfm?as-setID=474197
[17] 施奈尔B.攻击树木。多布博士期刊。2001年7月22日。http://web.cs.du.edu/~ramki/pa-pers/attackGraphs/SchneierAttackTrees.pdf
[18] Shostack,A.威胁建模,周四。2018年7月23日[已访问]。https://adam.shos-tack.org/blog/category/threat-modeling/threat-model-thursdays/
[19] UcedaVélez,T.威胁建模w/PASTA:以风险为中心的威胁建模案例研究。技术报告。开放式Web应用程序安全项目(OWASP)。2017
[20] 卡拉哈萨诺维奇,A。;Kleberger,P.;&Almgren,M.汽车工业的适应性威胁建模方法。载于ESCAR第15届会议记录。2017
[21]Simeonova,S.企业中的威胁建模,第2部分:理解过程。安全情报。2016年8月15日。https://securityintelligence.com/threat-modeling-in-the-enter-prise-part-2-understanding-the-process/
[22]Beyst,B.哪种威胁建模方法。线程建模器。2016年4月15日。https://threatmodeler.com/2016/04/15/threat-modeling-method/
[23]Cleland Huang,J.你对你的人格了解多少?IEEE软件。第31卷。数字4。2014年7月。第28-31页。http://ieeexplore.ieee.org/stamp/stamp.jsp?ar-number=6834694
[24]Mead,N.&Shull,F.混合威胁建模方法[博客文章]。SEI博客。2018年4月23日。https://insights.sei.cmu.edu/sei_blog/2018/04/the-hybrid-threat-modeling-method.html
[25]Lawson,C.和Pratap,K.安全威胁情报产品和服务市场指南。2017https://www.gartner.com/doc/3765965/market-guide-security-threat-intelligence
[26]Hernan,S。;Lambert,S。;Shostack,A.;&Ostwald,T.使用STRIDE方法发现安全设计缺陷。MSDN杂志。2006年11月。
[27]Howard,M.和Lipner,S.安全开发生命周期。微软出版社。2006
[28]Scandariato,R。;吴;&微软威胁建模技术的描述性研究。需求工程。第20卷。第二。2015年6月。第163–180页。DOI 10.1007/s00766-013-0195-2
[29]微软公司。SDL威胁建模工具。安全开发生命周期。2018年7月20日[已访问]。https://www.microsoft.com/en-us/sdl/adopt/threatmodeling.aspx
[30]马丁斯,G。;巴蒂亚,S。;Koutsoukos,X。;Stouffer,K。;唐;&Candell,R.网络物理系统的系统威胁建模方法。第1-6页。在《2015韧性周论文集》中。2015年8月。DOI 10.1109/RWEEK.2015.7287428。
[31]UcedaVélez,T.使用PASTA方法的真实世界威胁建模。技术报告。开放式Web应用程序安全项目(OWASP)。2012https://www.owasp.org/im-ages/a/aa/AppSecEU2012_PASTA.pdf
[32]UcedaVélez,T.&Morana,M.M.以风险为中心的威胁建模:攻击模拟和威胁分析过程。威利。2015年为978-0-470-50096-5。
[33]勒布朗,D.DREADful[博客文章]。David LeBlanc的网络日志。2007年8月14日。https://blogs.msdn.microsoft.com/david_leblanc/2007/08/14/dreadful/
[34]下载。LINDDUN:隐私威胁建模。2018年7月23日[已访问]。https://dis-trinet.cs.kuleuven.be/software/linddun/download.php#
[35]邓,M。;吴,K。;Scandariato,R。;Preneel,B.;&Joosen,W.隐私威胁分析框架:支持隐私要求的引出和实现。需求工程。第16卷。问题1。2011年3月。第3-32页。https://link.springer.com/arti-cle/10.1007/s00766-010-0115-7
[36]阿尔伯茨,C。;Dorofee,A。;Stevens,J;&Woody,C.OCTAVE方法简介。卡内基梅隆大学软件工程研究所。2003年8月。https://resources.sei.cmu.edu/library/Asset-view.cfm?资产ID=51546
[37]通用漏洞评分系统v3.0:规范文件。事件响应和安全小组论坛。2018年7月23日[已访问]。https://www.first.org/cvss/specification-document
[38]国家脆弱性数据库。美国国家标准与技术研究所。2018年7月23日[已访问]。https://nvd.nist.gov/vuln-metrics/cvss#
[39]Hanic,D.&Surkovic,A.系统中自治系统的攻击模型[硕士论文]。Mälardalen大学。2018http://www.diva-portal.org/smash/rec-ord.jsf?pid=diva2%3A1218262&dswid=-7458
[40]Khan,R。;McLaughlin,K。;Laverty,D.;&塞泽尔,萨基尔。基于STRIDE的网络物理系统威胁建模。在2017年IEEE PES创新智能电网技术会议欧洲会议记录中。2017年9月。DOI 10.1109/ISGT欧洲.2017.8260283。
[41]丹宁,T.A。;Friedman,B.;&Kohno,T.家。安全卡:安全威胁集思广益工具包。2013年http://securitycards.cs.washington.edu/index.html
[42]Saitta,P。;Larcom,B.;&Eddington M.Trike第1版方法论文件[草案]。OctoTrike。2005年7月13日。http://www.octotrike.org/papers/Trike_v1_Methodology_Document-draft.pdf
[43]Stanganelli,J.为您的组织选择威胁风险模型,第二部分。电子安全星球。2016年9月27日。https://www.esecurityplanet.com/network-security/selecting-a-threat-risk-model-for-your-organization-part-two.html
[44]通用漏洞评分系统SIG。事件响应和安全小组论坛。2018年7月30日[已访问]。https://www.first.org/cvss/
[45]米德,N。;E.霍夫;&Stehney,T.,II。安全质量要求工程技术报告。CMU/SEI-2005-TR-009.卡内基梅隆大学软件工程研究所。2005https://resources.sei.cmu.edu/library/asset-view.cfm?assetID=7657
联系我们
软件工程研究所,宾夕法尼亚州匹兹堡第五大道4500号,邮编15213-2612
电话:412/268.5800 | 888.201.4479
网址:www.sei.cmu.edu
电子邮件:[email protected]
版权所有2018卡内基梅隆大学。保留所有权利。
本材料基于国防部根据第FA8702-15-D-0002与卡内基梅隆大学合作运营软件工程研究所,这是一个由联邦政府资助的研发中心。
本材料中包含的观点、意见和/或调查结果是作者的观点、观点和/或结果,除非其他文件指定,否则不应被解释为政府的官方立场、政策或决定。
免责条款。这份卡内基梅隆大学和软件工程研究所的材料是在“AS-IS”的基础上提供的。卡内基梅隆大学不对任何事项作出任何明示或暗示的保证,包括但不限于对适用性或适销性、排他性或使用材料获得的结果的保证。卡内基梅隆大学不对专利、商标或版权侵权的自由作出任何形式的保证。
[发行声明A]本材料已获准公开发行和无限量发行。请参阅非美国政府使用和分发的版权声明。
内部使用:*允许复制本材料并根据本材料制作衍生作品供内部使用,前提是所有复制品和衍生作品均包含版权和“无担保”声明。
外部使用:*本材料可以完整复制,无需修改,也可以以书面或电子形式自由分发,无需申请正式许可。任何其他外部和/或商业用途都需要获得许可。许可申请应直接发送至软件工程研究所[email protected].
*这些限制不适用于美国政府实体。
卡内基梅隆大学在美国专利商标局注册了Carnegie Mellon®、CERT®、CERT Coordination Center®和OCTAVE®。DM18-0894
[1]译者注:拉丁语,不受欢迎的人
[2] http://www.agilemodeling.com/artifacts/personas.htm
[3]安全科学热点
原文始发于微信公众号(老烦的草根安全观):威胁建模:可用方法综述
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论