论坛

Notifications
清除所有

威胁建模:12种可用方法


帖子:84
主持人
Topic starter
(@太极)
成员
Joined: 1 year ago

这篇文章总结的12种威胁建模方法来自各种来源,并针对该过程的不同部分。没有一个威胁建模方法建议在另一个威胁模型中;组织应根据其项目的特定需求选择哪种方法使用。我鼓励读者对有关这些方法的更详细信息感兴趣,以阅读我们的 Sei白皮书 on the same topic.

步幅和相关的衍生

在1999年发明并通过Microsoft于2002年通过, 步行 是目前最成熟的威胁建模方法。步幅随着时间的推移而发展,包括新的威胁特定的表和变种 str and 级别互动.

步幅评估系统详细设计。它模拟了就地系统。通过建设 数据流程图 (DFDS),stride用于识别系统的系统实体,事件和边界。步幅基于其名称应用一般的已知威胁,这是一个助记符,如下表所示:

表1.png

表1:步幅威胁类别

步幅已成功应用于仅网络和网络物理系统。虽然Microsoft不再维护步幅,但它是作为的一部分实施 Microsoft安全开发生命周期 (SDL) with the 威胁建模工具,仍然可用。微软还开发了一种称为类似的方法 恐惧,这也是具有不同方法的助记症(损伤潜力,可重复性,可利用率,受影响的用户,可发现性),用于评估威胁。

意大利面

攻击仿真和威胁分析的过程(意大利面) 是2012年开发的一种以风险为中心的威胁建模框架。它包含七个阶段,每个阶段都有多种活动,如下图1所示:

图1.tmm.png.

图1:调整 威胁模型W / Pasta:风险为中心的威胁建模案例研究

意大利面旨在将业务目标和技术要求集合在一起。它使用各个阶段的各种设计和闪集工具。该方法通过涉及关键决策者并需要从运营,治理,架构和开发的安全投入来提升威胁建模过程。广泛认为被视为以风险为中心的框架,意大利面具有以攻击者为中心的视角,以威胁枚举和评分的形式产生一个以资产为中心的产出。

林德敦

林德敦 (核有,可识别性,非分析,可检测性,信息披露,无意义,不合规)侧重于隐私问题,并且可以用于数据安全性。 LINDDUN由六个步骤组成,(参见图2),提供了一种系统的隐私评估方法。

图2.tmm.png.

图2:LINDDUN步骤

Linddun从一个定义系统的系统的DFD开始'S数据流,数据存储,进程和外部实体。通过系统地迭代所有模型元素并从威胁类别的角度分析它们,LINDDUN用户识别威胁'S适用于系统并构建威胁树。

CVSS.

常见的漏洞评分系统(CVSS) 捕获漏洞的主要特征,并产生数值严重性分数。 CVSS是由 NIST 并且由此维护 事件响应和安全团队论坛(第一)  与支持和贡献 CVSS.特殊兴趣集团。 CVSS为用户提供了不同网络和网络物理平台内的共同和标准化的评分系统。 CVSS分数可以由计算器计算 在线提供.

如图3所示,CVSS由三个度量组(基本,时间和环境)组成,每个度量组都是一组指标。

图3.tmm.png.

图3:CVSS V3.0度量组

CVSS.分数来自分析师为每个度量标准分配的值。指标在文档中广泛解释。 CVSS方法通常与其他威胁建模方法组合使用。

攻击树木

使用攻击树来模拟威胁是网络仅限于网络系统,网络系统和纯粹物理系统上的最古老和最广泛应用的技术之一。攻击树最初申请为独立的方法和 此后已结合其他方法和框架.

攻击树是描绘在树形上的系统上的攻击的图。树根是攻击的目标,叶子是实现这一目标的方法。每个目标都表示为单独的树。因此,系统威胁分析产生了一组攻击树。请参见图4中的示例。

图4.tmm.png.

图4:攻击树示例

在复杂的系统的情况下,可以为每个组件而不是整个系统构建攻击树。管理员可以构建攻击树并使用它们通知安全决策,以确定系统是否容易受到攻击,并评估特定类型的攻击。

近年来,这种方法通常与其他技术结合使用,并且在框架内,如步幅,CVS和面食。

角色非格拉塔

角色非格拉塔(PNG)侧重于人类攻击者的动机和技能。它将用户称为原型,可以滥用系统并强制分析师从意外使用的角度来看系统。请参见图5中的示例。

PNG可以帮助对方的威胁来可视化威胁,这可以有助于威胁建模的早期阶段。这个想法是向系统的潜在攻击者介绍技术专家并检查攻击者'S技能,动机和目标。此分析有助于专家了解系统'从攻击者的角度来看,漏洞。

png很适合 敏捷 approach, which uses 个人.

图5.tmm.png.

图5:人格非GRATA的例子

安全卡

安全卡 确定异常和复杂的攻击。它们不是一种形式的方法,而是,而是一种头脑风暴技术。借助来自卡片的帮助(参见图6中的示例),分析师可以回答有关攻击的问题,例如

  • 谁可能攻击?
  • 为什么系统可能被攻击?
  • 什么资产感兴趣?
  • 如何实施这些攻击?"

图6.tmm.png.

数字 6: 安全卡示例

这种方法使用42张牌来促进威胁发现活动:人类影响(9张牌),对手'S的动机(13张卡),对手资源(11张牌)和对手'S方法(9张牌)。每个维度内的不同类别如表2所示。


表2.Png

表2:安全卡尺寸

HTMM.

这 混合威胁建模方法(HTMM) 由SEI于2018年制定。它包括一个组合 广场(安全质量要求工程方法),安全卡和PNG活动。该方法的目标特征包括没有假阳性,没有忽视的威胁,无论谁在进行威胁建模和成本效益,都是一致的结果。

该方法的主要步骤是

  1. 确定要威胁建模的系统。
  2. 根据开发人员建议应用安全卡。
  3. 除去不太可能的PNG(即,没有现实的攻击向量)。
  4. 使用工具支持总结结果。
  5. 继续正式风险评估方法。

定量威胁建模方法

这种混合方法包括在协同作用中应用的攻击树,步幅和CVSS方法。它旨在解决一些对其组件中具有复杂相互依存的网络物理系统的威胁模型。

第一步 定量威胁建模方法(定量TMM) 是为五个威胁类别构建组件攻击树。此活动显示攻击类别和低级组件属性之间的依赖项。之后,应用CVSS方法,并为树中的组件计算分数。

tr

tr 被创建为安全审计框架,该框架使用威胁建模作为技术。它从风险管理和防守视角看出威胁建模。

与许多其他方法一样,三轮车从定义系统开始。分析师通过枚举和理解系统来构建一个要求模型'S演员,资产,预期行动和规则。此步骤创建一个演员 - 资产 - 动作矩阵,其中列代表资产,行代表演员。

矩阵的每个单元被分成四个部分,每个部件为每个动作 cr (创建,读取,更新和删除)。在这些单元格中,分析师分配三个值之一:允许操作,不允许操作或使用规则进行操作。一种 规则树 附加到每个细胞。

在定义要求之后,一个 数据流程图 (DFD)建成。每个元素都映射到各种类型的演员和资产。通过DFD迭代,分析师识别威胁,该威胁落入两类之一: 高度特权 or 否认服务。每个发现的威胁都成为攻击树中的根节点。

为了评估可能通过CRUD影响资产的攻击的风险,Trike基于其概率,Trike为每个动作使用五点比例。参与者被评为五点比例,用于风险,假设向资产呈现(较低的数量=更高的风险)。此外,对于每个资产在每个资产上执行的每个动作,参与者都以三维规模(总是,有时,而不是)评估。

广大建模

这 视觉,敏捷和简单的威胁(广泛)建模 method is based on 威胁主义者,自动威胁建模平台。其可扩展性和可用性允许它在整个基础架构中的大型组织中采用它,以为不同的利益相关者生产可行且可靠的结果。

识别开发和基础设施团队的运营和疑虑的差异,巨大需要创建两种类型的模型:应用威胁模型和操作威胁模型。应用威胁模型使用 流程图,代表架构的观点。操作威胁模型是根据DFD的攻击者的角度创建的。这种方法允许整合到组织中's development and 德沃斯 lifecycles.

octave.

这 经营批判性威胁,资产和漏洞评估(八度) 方法是一种基于风险的网络安全的战略评估和规划方法。它是由 证书部门 2003年的SEI并于2005年提炼。八度音高侧重于评估组织风险,并没有解决技术风险。其主要方面是运营风险,安全实践和技术。

如图7所示,Octave有三个阶段。

  1. 构建基于资产的威胁配置文件。 (这是一个组织评估。)
  2. 识别基础架构漏洞。 (这是对信息基础设施的评估。)
  3. 制定安全策略和计划。 (这是对组织的风险的识别'S关键资产和决策。)

图7.tmm.png.

图7:八度阶段

包装并朝前展示

威胁建模可以帮助您的产品更安全和值得信赖。这篇文章介绍了12条威胁建模方法。一些通常单独使用,一些通常与他人结合使用,有些是如何组合不同方法的示例。未来的SEI博客帖子将提供有关如何评估这些模型以用于特定上下文的指导。

要选择哪种方法最适合您的项目,您需要考虑您想要的任何特定领域(风险,安全,隐私),您必须执行威胁建模的时间,您对威胁建模有多少经验,如何涉及利益相关者想要等等。表3总结了每个威胁建模方法的特征。这些方法都可以在一个内使用 敏捷 环境,根据Sprint的时间范围以及模拟重复的频率。


威胁%20modeling%20table.jpg
表3:威胁建模方法的特征

主题标签
1 回复
帖子:84
主持人
Topic starter
(@太极)
成员
Joined: 1 year ago

什么是一些建模方法?
•白板图
•头脑风暴
•结构化(“正式”)图
- 数据流程图
- 游泳车道
- 国家机器
•代码的数学代表代码

 

如何威胁模型(摘要)
•你在建造什么?
•什么问题?
• 你打算怎么办呢?
•在1-3上检查您的工作

敏捷威胁建模资源

//thoughtworksinc.github.io/sensible-security-conversations/

TitteBoxed步行

背景

安全目标

有时你想与业务利益相关者锻炼,而不是专注于技术。这些可以提供帮助。

  • 可打印的HTML 威胁卡 在A4纸上打印出来
  • PDF版本 威胁卡 在A4纸上打印出来
回复
分享: