1.1 风险、威胁和缓解措施

0x00 前言

风险与威胁有什么区别？缓解措施和它们又有什么关系呢？在对容器进行威胁建模之前，我们先简单说明一下风险、威胁及缓解措施的基本概念。

0x01 定义

首先，我们来看一下定义：

• 风险（Risk）：潜在的问题，以及如果问题发生会造成的影响。
• 威胁（Threat）：导致风险发生的途径。
• 缓解措施（Mitigation）：对威胁的应对措施，即：你可以采取的用来防止威胁或至少降低其成功的可能性。

假设一个情景：有人从你家偷走了车钥匙。那么：

• 风险（Risk）：你的车可能会被开走。
• 威胁（Threat）：偷取钥匙的不同的方式，例如：打破窗户伸手拿；用鱼竿将它钓走；敲门分散你的注意力，同时帮凶迅速溜进家中拿走钥匙。
• 缓解措施（Mitigation）：让车钥匙不要离开你的视线。

0x02 风险之间的差异

风险因组织而异：

• 对于银行而言，风险是资金被盗取；
• 对于电商而言，风险是交易被欺诈；
• 对于经营博客的个人开发者而言，风险是别人入侵他们的网站并且发布不当言论。

风险不仅因国家之间的隐私法规不同而不同，还因地理位置不同而不同：

• 在许多国家，泄露客户个人数据仅会损害声誉，
• 而在欧洲，通用数据保护条例（General Data Protection Regulation ，GDPR）^[1]允许的罚款高达公司总收入的4%^[2]。

2019年7月，CSO统计了因数据泄漏或不遵守安全法而处以的最高罚款的事件，截止至2024年4月26日共有15起，这份名单^[3]会随着相关处罚的新闻出现而持续更新。

表1：全球 Top 15 因数据泄露或不遵守安全和隐私法而处以的最高罚款的事件（截止至2024年4月26日）

0x03 风险管理系统

也正因为风险之间存在着较大的差异，所以不同的威胁的相对重要程度会有所不同，进而导致缓解措施也不同。为了提供一个系统的思考风险的过程，风险管理框架（risk management framework，RMF）应运而生，它能列举出各种威胁、确定风险的重要性并定义缓解措施。

0x04 威胁模型

由于威胁是风险发生的途径，如何识别并列举出系统潜在的威胁至关重要。威胁模型（Threat modeling）可以系统地查看系统组件和可能的攻击模式，以帮助您确定系统最容易受到攻击的位置。

需要注意的是，没有单一的综合的威胁模型，因为威胁模型还取决于风险、特定环境、组织和正在运行的应用程序等种种因素。虽然容器的威胁模型不能列出全部的威胁，但它可以列出大多数容器部署环境所存在的一些共同的潜在威胁。

0x05 总结

本文，我们通过情景再现，解释了风险、威胁和缓解措施的概念，并且浏览了全球 Top 15 因数据泄露或不遵守安全和隐私法而处以的最高罚款和罚金的事件。

为了提供一个系统的思考风险和识别威胁的过程，我们简单介绍了风险管理框架和威胁模型的定义。

需要注意的是，虽然没有一个综合的威胁模型，但为了识别出容器部署环境所存在的威胁，对容器进行威胁建模仍然是一个有效的方式。