- 1 .介绍
- 2 .什么时候应该使用威胁建模?
- 3 .好的威胁建模是什么样的?
- 4 .对我们正在构建的技术系统或服务进行建模和分析
- 5 .威胁建模是一项团队运动
- 6 .更多信息
威胁建模如何帮助为风险管理决策和网络安全风险管理控制选择提供信息。
介绍
威胁建模是一个术语,适用于对技术系统和服务进行建模和分析的技术,以更好地了解系统或服务如何受到攻击或发生故障,以及管理此类攻击或造成的风险所需的措施或控制。失败。威胁建模技术最适合为技术系统或服务生命周期的设计和开发阶段提供信息
什么时候应该使用威胁建模?
我们建议使用威胁建模来为任何技术系统或服务的开发和设计提供信息,并像往常一样将其纳入您的风险管理流程、开发或持续集成和部署 (CI/CD) 流程中,因为它可以帮助开发人员、设计人员和安全分析师:
- 考虑系统或服务上下文,并理解它的作用、它是如何做的以及为什么这样做
- 对他们正在构建的系统或服务应用对抗性的观点
- 了解并证明安全需求以及保护系统或服务所需的措施
- 有效阐明网络安全风险
由于威胁建模旨在为技术系统或服务的设计和构建提供信息,因此最好将其部署在技术系统或服务交付生命周期的设计和开发阶段。然而,这并不是说威胁建模不能随时用于帮助更好地了解系统或服务可能如何受到攻击或出现其他问题。
好的威胁建模是什么样的?
了解谁可能有动机伤害您
任何威胁建模或评估过程的第一步是了解谁可能对您、您的组织、您正在构建的系统或服务和/或其存储和处理的信息构成威胁。例如,某些组织可能因其所做的事情而成为网络犯罪分子的有吸引力的目标,有些组织可能会成为心怀不满的员工(内部人员)的目标,而另一些组织可能会成为敌对国家行为者的有吸引力的目标,因为它们为英国的国防和政府做出了贡献。
虽然地震、火灾和洪水等自然和环境威胁(或危害)应被视为风险总体评估的一部分,但威胁建模通常处理人类威胁源以及出于某种原因试图伤害您的威胁行为者、您的组织或您正在构建的系统/服务。
在考虑谁可能对您的系统或服务构成威胁时,您应该考虑他们的意图、动机以及他们可能拥有的能力。您应该寻求使用可用的最佳网络威胁情报 (CTI) 信息。例如,一些政府或国防组织可能能够从权威来源获取定制或更具体的威胁评估。其他有用的威胁信息来源包括对安全和技术漏洞的新闻报道、供应商提供的信息和合作伙伴关系,例如网络安全信息共享合作伙伴关系 (CISP),这是一项行业和政府联合数字服务,允许英国组织共享网络威胁信息在安全保密的环境中。
当与其他人交流网络威胁信息时(例如,描述谁是威胁源或谁可能是威胁行为者),那么利用现有的网络威胁信息词汇或分类法来帮助保持一致性和共同理解可能会很有用。此类词汇表之一是结构化威胁信息表达 (STIX) OASIS 标准。
对我们正在构建的技术系统或服务进行建模和分析
虽然有许多不同的技术和方法用于对与技术系统和服务相关的威胁进行建模,但 Tarandach 和 Coles 在他们的《威胁建模:开发团队实用指南》一书中提出了一个有用的 4 阶段威胁建模过程,我们将使用它作为扶手在这里。
第一阶段——你要建造什么?
此阶段建模和分析的第一阶段是开发我们正在构建的技术系统或服务的模型,使其达到足够的详细程度,使我们能够有效地应用一些安全分析。模型可以采用数据流图 (DFD)、用例模型或架构图的形式,虽然有一些软件工具可用于帮助您半自动地对系统或服务进行建模和分析,但您始终可以使用您的首选绘图工具。
在对系统或服务进行建模时,请务必记住,您的模型永远不会完美,但它必须足够好,以便能够进行一些有效的分析。为此,新系统或服务的模型至少应包括系统或服务的所有组件(包括用户)、所有数据流或这些组件之间的交互、与其他系统和服务的互连、以及任何组件之间的交互。数据和信息流动的信任边界。信任边界是系统或服务的那些区域,我们(作为系统或服务的所有者)可以通过使用(例如,安全策略和安全控制)对流经的数据或信息施加某种安全控制。
第 2 阶段 – 可能会出现什么问题?
在第二阶段,我们重点关注系统的特定部分进行分析。例如,我们可能选择分析客户端和服务器之间的交互。这里的目的是考虑系统的该部分可能如何受到攻击或以其他方式出错。在这里,您可能很容易简单地列出您认为系统或服务可能受到攻击的所有方式的列表。这种方法可能会出现问题,因为您确实存在错过重要内容的风险。为了避免这种情况,我们建议您使用结构化方法来分析系统的安全性。例如,Microsoft 的威胁建模方法使用助记符 STRIDE 来系统地考虑可能与分析重点相关的攻击类型。STRIDE 助记符考虑以下类型的威胁/攻击:
- 欺骗_
- 篡改_
- 否认_
- 信息披露
- 拒绝服务
- 特权提升
此处可以使用其他描述攻击的结构化方法来分析您正在构建的系统或服务。例如,来自MITRE ATT&CK 框架或洛克希德·马丁公司描述的网络杀伤链的14 种攻击者技术分组。事实证明,MITRE ATT&CK 框架对于帮助了解现实世界中的威胁行为者如何针对某些技术类型和平台进行攻击非常有用。
了解您正在构建的系统或服务可能出现问题的另一种方法是构建攻击树。构建攻击树是分析攻击者为实现其目标可能采取的步骤的一种众所周知的方法。我们在本指南中提供了有关构建和分析攻击树的更多信息。
第三阶段——你应该做什么?
此阶段是对前一阶段进行的分析进行分析,并提出有助于管理已识别的威胁、攻击和风险的安全措施或控制措施。MITRE ATT&CK 再次被证明是有用的,因为它建议缓解已识别的攻击技术。此阶段还需要专家的意见,以确保建议的控制措施有效且优先顺序正确。
威胁建模练习的网络安全控制和缓解建议输出可用于通知安全设计活动、安全设计和开发流程或 CI/CD 流程。
当威胁建模作为总体风险评估和分析练习的一部分进行时,输出可用于告知已识别的风险以及威胁模型输出建议的控制和缓解措施的优先级。重要的是,任何威胁建模练习的网络安全控制和缓解输出建议都应在组织的风险管理方法及其风险偏好的背景下考虑,因此应包含在风险处理和保障计划等风险管理工件中。有关更多信息,请参阅有关获得和维护网络安全控制保证的部分。
第四阶段——我们做得好吗?
4 阶段流程的最后阶段只是不断改进威胁建模流程,通过回顾我们所做的事情并思考我们是否对整个系统或服务进行了建模,并提出以下问题:
我们错过了什么吗?
下次我们是否需要改进或采取不同的做法?
威胁建模是一项团队运动
如果做得好,威胁建模不仅会考虑系统或服务的技术和安全视角,还会引入了解系统或服务的用途(以及它在现实世界中如何工作)的其他人的视角。因此,我们建议在研讨会类型的环境中进行威胁建模,并由各种人员支持,以便为您正在构建的系统或服务提供最佳的视角。
更多信息
有关威胁建模的更多有用信息,请参见以下内容:
- 威胁建模宣言
- 布鲁斯·施奈尔谈攻击树
- MITRE ATT&CK和CAPE 常见攻击模式枚举和分类 (CAPEC™)
- OASIS 开放 STIX v2.1:STIX 版本 2.1
- Tarandach 和 Coles -威胁建模:开发团队实用指南
原文始发于微信公众号(祺印说信安):风险管理之威胁建模14
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论