1、常用场景
软件开发:作为安全软件开发生命周期(SSDLC)的一部分,威胁建模有助于在开发的早期阶段识别潜在的漏洞来源。
渗透测试:渗透测试执行标准(PTES)框架要求在进行测试之前进行威胁建模,以了解系统的漏洞。
PTES标准中的渗透测试阶段:② 情报搜集阶段③ 威胁建模阶段④ 漏洞分析阶段⑤ 渗透攻击阶段⑥ 后渗透攻击阶段⑦ 报告阶段
2、威胁模型简述
威胁模型通常表示为图表、图像或其他形式的视觉说明,用于描述应用程序的计划架构或现有构建。它与数据流图相似,但关键区别在于其面向安全的设计。
威胁模型通常以红色标记的元素为特征,象征潜在的漏洞、风险或障碍。为了简化风险识别过程,采用了CIA(机密性、完整性、可用性)三元组,构成了许多威胁建模方法的基础,STRIDE是最常见的方法之一。然而,所选择的方法可能因具体情况和要求而异。
CIA Triad是信息安全领域公认的模式,代表机密性、完整性和可用性。这三大支柱构成了许多安全措施和政策的基础,包括威胁建模方法。机密性:确保未经授权的个人不会访问数据或系统。这是安全的一个核心方面,需要适当的访问控制、加密和其他措施来防止数据泄露。完整性:数据在其生命周期中的准确性、一致性和可信度。这一原则确保数据不会被未经授权的各方更改或篡改。它通常涉及校验和、哈希和其他数据验证方法。可用性:这可确保授权用户在需要时可以访问数据和服务。这通常涉及冗余、容错和高可用性配置,以使系统即使在面临中断时也能保持运行。
3、威胁建模方法
STRIDE:由微软开发,STRIDE是Spoofing、Tampering、Repediation、Information Disclosure、Denial of Service和Elevation of Privilege的缩写。每一类都代表一种威胁,这种方法通常用于程序或系统的设计阶段,以识别潜在威胁。
DREAD:这是微软用于对已识别威胁进行风险评估的另一种方法。DREAD代表潜在伤害、再现性、可利用性、受影响用户和可发现性。对这些因素中的每一个进行评分,并将结果用于确定已识别威胁的优先级。
PASTA(攻击模拟和威胁分析过程):这是一种以风险为中心的七步方法。它包括定义和确定安全目标、创建技术范围、应用程序分解、威胁分析、漏洞分析和风险/分类评估。
Trike:这是一种基于风险的方法,专注于保护资产。它从风险管理的角度出发,并在此背景下审视威胁和漏洞。
VAST(可视化、敏捷和简单威胁建模):这种方法旨在更容易访问并集成到敏捷开发环境中。它结合了其他方法的元素,并侧重于威胁的视觉表示。
OCTAVE(作战关键威胁、资产和脆弱性评估):该框架由CERT协调中心开发,旨在进行组织风险评估,而不是特定的系统或软件。
4、威胁建模工具
有几种可用的工具和软件解决方案可以帮助创建和管理威胁模型。
SpiderSuite
一个先进的跨平台和多功能GUI web spider/crawler为网络安全专业人士。Spider Suite可用于攻击面映射和分析。
下载地址:https://github.com/3nock/SpiderSuite工具使用:
添加URL并使用爬虫
爬虫运行完成后查看图形化界面
此工具将WEB页面所有的静态资源通过爬虫并整理成图形化界面,整体来说还是可行的。
OWASP Threat Dragon
Threat Dragon是OWASP的一个开源项目,它既是一个网络应用程序,也是一个桌面应用程序,包括系统图表以及自动生成威胁/缓解措施的规则引擎。
下载地址:https://github.com/OWASP/threat-dragon/具体使用可以参考:
https://owasp.org/www-project-threat-dragon/docs-2
可以看下例子:
Microsoft Threat Modeling Tool
这是微软的一个免费工具,有助于在软件项目的设计阶段发现威胁。它使用STRIDE方法,特别适合那些在微软堆栈上开发的人。
下载地址:https://aka.ms/threatmodelingtool免责声明:
本公众号漏洞复现文章,SRC、渗透测试等文章,仅供学习参考,请勿用于实战!!有授权情况下除外!!由于传播、利用本公众号文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责
原文始发于微信公众号(sahx安全从业记):威胁建模简述以及工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论