威胁建模的艺术： 3 个必学框架

以下是William Dupre的客座文章，他是 Gartner的VP分析师。

尽管不断出现安全事件的头条新闻，但组织仍然难以理解可能影响其系统的安全威胁。

为了更好地了解威胁以及可能存在的弱点，安全领导者应该关注威胁建模——一种风险评估形式，用于识别系统中的安全暴露面和缓解措施。

威胁建模是一个架构级过程，用于审查系统设计、列出威胁和缓解措施、验证控制以及绘制系统的攻击暴露面。可用于应用程序、网络、设备、容器或任何系统、软件、硬件等元素。

以下是需要考虑的三种威胁模型以及如何使用它们：

STRIDE，一种助记符，是最流行的威胁建模框架之一。

关注数据隐私的组织应该采用更有针对性的威胁建模方法。 LINDDUN 就是这样一个框架，它提供了一系列隐私方面的潜在威胁，以便能够调查可能影响隐私的各种设计问题。

首字母缩略词“LINDDUN”代表以下隐私威胁类型：

STRIDE 和 LINDDUN 的方法包括对系统进行建模（使用数据流图表）、识别威胁可能影响系统的位置以及确定可以在何处实施控制来减轻这些威胁。

安全决策树是一种以攻击者为中心的威胁建模技术，允许团队使用树结构对攻击如何展开进行建模。攻击场景模拟了攻击者在攻击的每个阶段可能采取的动作以及系统可以采取哪些措施来对抗攻击者。

这种方法可以帮助团队了解攻击者的心态和决策过程，以及攻击的投资回报 (ROI)。

组织应在风险评估过程中的特定时间点使用这些框架，以获得对威胁的广泛和一致的理解。这些点应与系统演进的不同阶段保持一致，包括初始系统设计、老旧系统审查以及 IT 战略变更或业务变更。

这些框架可以作为独立的方法，也可以用作相互补充的进一步分析。该过程可以通过 MITRE ATT&CK 框架或洛克希德•马丁网络杀伤链框架定义的对手战术和技术得到进一步增强。

使用框架进行威胁建模是组织风险评估过程的重要组成部分。要想对威胁做更深入了解，这些框架应该作为手动工作或与自动化解决方案一起使用。

然而，向组织灌输威胁意识思维需要采取多种手段。有些还是非正式手段，下面列出的几项希望能帮你触及到威胁建模艺术的核心。

在考虑谁参与威胁建模时，重要的是组织内的多种角色参与这些练习，以便能够展示威胁态势的完整情况。

例如，业务角色有助于为正在建模的内容提供上下文，而安全角色则提供有关威胁如何扩散的指导。架构师和开发人员还将提供对应用程序和基础设施组件的见解。

使用任何这些威胁建模技术都将使员工更加具有威胁意识，使其可以对网络活动做出更好的判断。

数字世界的一个重要特征就是，一方面常见的威胁持续存在，与此同时新威胁出现时就是适应新技术与社会技术（sociotechnical）结构的（例如，针对生成式人工智能的威胁以及来自于生成式人工智能的威胁）。

* 本文为晨雨编译，原文地址：https://www.cybersecuritydive.com/news/cyber-threat-modeling-framworks-STRIDE-LINDDUN-decision-trees/713587/
图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。

原文始发于微信公众号（数世咨询）：威胁建模的艺术： 3 个必学框架