文章的来源:(华为云社区)
【摘要】 威胁建模Threat Modeling,一个不断循环的动态模型,主要运用在安全需求和安全设计上。威胁建模是一项工程技术,可以使用它来帮助确定会对您的应用程序造成影响的威胁、攻击、漏洞和对策。您可以使用威胁建模来形成应用程序的设计、实现公司的安全目标以及降低风险。——GBT20984一般采用的是STRIDE 模型(威胁识别模型),其实就是思维的方法论,帮助大家在做安全测试、Web渗透测试等时,...
威胁建模Threat Modeling,一个不断循环的动态模型,主要运用在安全需求和安全设计上。
威胁建模是一项工程技术,可以使用它来帮助确定会对您的应用程序造成影响的威胁、攻击、漏洞和对策。您可以使用威胁建模来形成应用程序的设计、实现公司的安全目标以及降低风险。——GBT20984
一般采用的是STRIDE 模型(威胁识别模型),其实就是思维的方法论,帮助大家在做安全测试、Web渗透测试等时,尽可能覆盖大多数的系统/安全威胁。
先通过对测试目标做功能上的分析,再做威胁建模,用STRIDE模型从6个方面(Spoofing伪冒、Tampering篡改、Repudiation抵赖/否认行为、资讯泄露、拒绝服务、提升权限)分析,确定攻击面Attack Surface,然后是实测验证,最后再输出报告。
| 字母 | 含义 | 描述 | 相关安全特性 |
| S | 伪冒Spoofing | 假冒为某人或某物 | 身份验证(Authentication) |
| T | 篡改Tampering | 恶意修改资料 | 完整性(Integrity) |
| R | 否认行为Repudiation | 使用者可否认曾经进行某行为,没有方法可证明其行为 | 不可否认性(Non-Reputation) |
| I | 资讯泄露Information Disclosure | 资讯被泄露给不被预期可存取的个体 | 机密性(Confidentiality) |
| D | 拒绝存取服务Denial of Service | 对使用者拒绝服务或降低服务水准 | 可用性Availability |
| E | 权限提升Elevation of privilege | 未正常授权得权限能力 | 授权Authorization |
此外,还有一种模型是DREAD模型(威胁评价模型),包括以下5个方面:
a.危害性(damage):如果被攻击了,会造成怎样的危害
b.持续生产(reproducibility):攻击后恢复运营的简易度
c.难度系数(exploitability):实施此项攻击的难度是如何
d.受影响用户数(affected users):有多少用户会受到此项攻击影响
e.发现系数(discoverability):这项威胁是否容易被发现
那么如何评估?可从高、中、低三个等级入手:
计算方式:
一个漏洞具体等级,基于上方标准,计算给定威胁的值(1-3)。结果范围为5-15.这样就可将总分12-15的威胁评价为高度危险,8-11的威胁评价为中度,7-7的威胁评价为低度。
此处引用《白帽子讲web安全》(纪念版)示例:
在一个web网站中,存在用户账号被盗威胁,根据DREAD进行评分如下:
a.网站登录页面存在暴利破解:D(3)+R(3)+E(3)+A(3)+D(3)=15
b.密码找回存在逻辑漏洞:D(3)+R(3)+E(3)+A(3)+D(2)=14
c.密码可能被嗅探:D(3)+R(3)+E(3)+A(1)+D(3)=13
d.服务端脚本漏洞(如SQL等):D(3)+R(3)+E(2)+A(3)+D(1)=12
e.钓鱼网站:D(3)+R(1)+E(3)+A(2)+D(3)=12
f.XSS或其他客户端威胁:D(3)+R(2)+E(2)+A(2)+D(2)=11
g.病毒或木马:D(3)+R(1)+E(2)+A(1)+D(1)=8
↑↑↑长按图片识别二维码关註↑↑↑
原文始发于微信公众号(全栈网络空间安全):【框架方法】威胁建模的两种常见思维模型:STRIDE 和DREAD模型
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论