论坛

通知事项
全部清除

威胁建模:12种可用方法  


太极
帖子:83
主持人
(@太极)
会员
已加入:8个月前

本文中总结的12种威胁建模方法来自各种来源,并且针对流程的不同部分。没有一种威胁建模方法值得推荐。组织应根据项目的特定需求选择使用哪种方法。我鼓励对这些方法的详细信息感兴趣的读者阅读我们的 SEI白皮书 on the same topic.

步幅和相关派生

它于1999年发明,并于2002年被Microsoft采纳, 跨度 是目前最成熟的威胁建模方法。 跨度随着时间的推移不断发展,以包含新的特定于威胁的表及其变体 每元素STRIDE and 每次互动的步数.

跨度评估系统详细设计。它为就地系统建模。通过建设 数据流程图 (DFD),STRIDE用于标识系统实体,事件和系统边界。 跨度根据其名称(即助记符)应用通用的已知威胁集,如下表所示:

表1.PNG

表1:STRIDE威胁类别

跨度已成功应用于纯网络和物理网络系统。尽管Microsoft不再维护STRIDE,但它已作为 Microsoft安全开发生命周期 (SDL) with the 威胁建模工具,仍然可用。微软还开发了一种类似的方法,称为 恐惧,它也是一种助记符(潜在损害,可再现性,可利用性,受影响的用户,可发现性),具有评估威胁的不同方法。

意大利面

攻击模拟和威胁分析(PASTA)的过程 是2012年开发的以风险为中心的威胁建模框架。它包含七个阶段,每个阶段都有多个活动,如下图1所示:

图1.TMM.PNG

图1:改编自 带有PASTA的威胁建模:以风险为中心的威胁建模案例研究

意大利面旨在将业务目标和技术要求结合在一起。它在不同阶段使用了各种设计和启发工具。通过让关键决策者参与进来,并要求来自运营,治理,体系结构和开发的安全投入,该方法将威胁建模过程提升到了战略水平。 意大利面被广泛视为以风险为中心的框架,它以攻击者为中心的观点以威胁枚举和评分的形式产生以资产为中心的输出。

林敦

林敦 (可链接性,可识别性,不可否认性,可检测性,信息公开,不知情,不合规)着重于隐私问题,可用于数据安全。 林敦包含六个步骤(参见图2),它提供了一种系统的隐私评估方法。

图2.TMM.PNG

图2:LINDDUN步骤

林敦从系统的DFD开始,该DFD定义了系统的数据流,数据存储,进程和外部实体。通过系统地迭代所有模型元素并从威胁类别的角度进行分析,LINDDUN用户可以确定威胁对系统的适用性并构建威胁树。

CVSS

通用漏洞评分系统(CVSS) 捕获漏洞的主要特征并产生数字严重性评分。 CVSS由 国家标准技术研究所 并由 事件响应和安全团队论坛(FIRST) 在 CVSS特别兴趣小组。 CVSS在不同的网络和网络物理平台内为用户提供一个通用的标准化评分系统。 CVSS分数可以通过以下计算器来计算: 在线可用.

如图3所示,CVSS由三个度量标准组(基本,时间和环境)组成,每个评估组中都有一组度量标准。

图3.TMM.PNG

图3:CVSS v3.0指标组

CVSS分数是由分析师为每个指标分配的值得出的。这些指标在文档中进行了详细说明。 CVSS方法通常与其他威胁建模方法结合使用。

攻击树

在仅网络系统,网络物理系统和纯物理系统上,使用攻击树为威胁建模是最古老,应用最广泛的技术之一。攻击树最初是作为独立方法应用的, 此后已与其他方法和框架结合在一起.

攻击树是以树的形式描述对系统的攻击的图。树的根是攻击的目标,叶子是实现该目标的方法。每个目标都表示为单独的树。因此,系统威胁分析产生了一组攻击树。参见图4中的示例。

图4.TMM.PNG

图4:攻击树示例

对于复杂的系统,可以为每个组件而不是整个系统构建攻击树。管理员可以构建攻击树,并使用它们来通知安全决策,确定系统是否易受攻击以及评估特定类型的攻击。

近年来,此方法经常与其他技术结合使用,并在诸如STRIDE,CVSS和PASTA之类的框架内使用。

非角色角色

非角色扮演(PnG)专注于攻击者的动机和技能。它把用户表征为可能滥用系统的原型,并迫使分析人员从非预期使用的角度查看系统。参见图5中的示例。

PnG可以帮助可视化对方的威胁,这可以在威胁建模的早期阶段提供帮助。想法是向系统的潜在攻击者介绍技术专家,并检查攻击者的技能,动机和目标。这种分析有助于专家从攻击者的角度了解系统的漏洞。

PnG非常适合 敏捷 approach, which uses 角色.

图5.TMM.PNG

图5:非角色角色的例子

安全卡

安全卡 识别异常和复杂的攻击。它们不是一种正式的方法,而是一种集思广益的技术。借助一系列的帮助(请参见图6中的示例),分析人员可以回答有关攻击的问题,例如

  • 谁会攻击?
  • 为什么系统会受到攻击?
  • 有什么资产值得关注?
  • 如何实施这些攻击?”

图6.TMM.PNG

数字 6: 安全卡示例

此方法使用一副42张牌来促进威胁发现活动:“人类影响力”(9张牌),“对手的动机”(13张牌),“对手资源”(11张牌)和“对手的方法”(9张牌)。表2中显示了每个维度内的不同类别。


表2.PNG

表2:安全卡尺寸

hTMM

的 混合威胁建模方法(hTMM) 由SEI在2018年开发。 SQUARE(安全质量需求工程方法),安全卡和PnG活动。该方法的目标特征包括没有误报,没有被忽略的威胁,无论谁进行威胁建模都可以得到一致的结果以及成本效益。

该方法的主要步骤是

  1. 确定要进行威胁建模的系统。
  2. 根据开发人员的建议应用安全卡。
  3. 删除不太可能的PnG(即没有现实的攻击媒介)。
  4. 使用工具支持来汇总结果。
  5. 继续使用正式的风险评估方法。

定量威胁建模方法

这种混合方法由协同应用的攻击树,STRIDE和CVSS方法组成。它旨在解决针对网络物理系统的威胁建模的一些紧迫问题,这些威胁在其组件之间具有复杂的相互依赖性。

第一步 定量威胁建模方法(定量TMM) 是针对STRIDE的五个威胁类别构建组件攻击树。此活动显示攻击类别和低级组件属性之间的依赖关系。之后,将应用CVSS方法,并为树中的组件计算分数。

三轮车

三轮车 被创建为使用威胁建模作为一种技术的安全审核框架。它从风险管理和防御的角度着眼于威胁建模。

与许多其他方法一样,Trike从定义系统开始。分析人员通过枚举和理解系统的参与者,资产,预期的行为和规则来构建需求模型。此步骤将创建一个参与者-资产-行动矩阵,其中的列代表资产,行代表参与者。

矩阵的每个单元分为四个部分,每个部分用于 欺诈 (创建,读取,更新和删除)。在这些单元格中,分析人员分配以下三个值之一:允许的操作,不允许的操作或带规则的操作。一种  规则树 连接到每个单元。

定义要求后, 数据流程图 (DFD)已建立。每个元素都映射到参与者和资产的选择。通过DFD迭代,分析人员确定威胁,这些威胁属于两类之一: 特权提升 or 拒绝服务。每个发现的威胁都将成为攻击树中的根节点。

为了评估可能通过CRUD影响资产的攻击的风险,Trike根据其概率对每个操作使用五分制。根据假定参与者对资产造成的风险(较低的数字=较高的风险),对参与者进行五点评估。此外,对于参与者在每种资产上可能执行的每个动作,他们都会在三维尺度上(总是,有时,永远不会)评估参与者。

VAST建模

的 视觉,敏捷和简单威胁(VAST)建模 method is based on 威胁建模器,一个自动化的威胁建模平台。它的可扩展性和可用性使它可以在整个基础架构中的大型组织中采用,从而为不同的利益相关者提供可行且可靠的结果。

认识到开发团队和基础架构团队之间在操作和关注方面的差异,VAST需要创建两种类型的模型:应用程序威胁模型和操作威胁模型。应用程序威胁模型的使用 工艺流程图,代表了建筑的观点。从攻击者的角度基于DFD创建操作威胁模型。这种方法可以将VAST集成到组织的开发和 开发运维 lifecycles.

八度

的 运营关键威胁,资产和漏洞评估(OCTAVE) 方法是基于风险的网络安全战略评估和规划方法。它是由 CERT部门 于2003年对SEI进行了评估,并于2005年进行了完善。OCTAVE专注于评估组织风险,但未解决技术风险。它的主要方面是操作风险,安全实践和技术。

如图7所示,OCTAVE具有三个阶段。

  1. 建立基于资产的威胁配置文件。 (这是组织评估。)
  2. 识别基础结构漏洞。 (这是对信息基础结构的评估。)
  3. 制定安全策略和计划。 (这是对组织关键资产和决策风险的识别。)

图7.TMM.PNG

图7:OCTAVE阶段

总结并展望未来

威胁建模可以帮助您提高产品的安全性和可信度。这篇文章介绍了12种威胁建模方法。有些通常单独使用,有些通常与其他方法结合使用,有些是如何组合不同方法的示例。 SEI未来的博客文章将提供有关如何评估这些模型以用于特定上下文的指南。

要选择最适合您的项目的方法,您需要考虑要针对的任何特定领域(风险,安全性,隐私),执行威胁建模所需的时间,在威胁建模方面的经验以及涉及的程度表3总结了每种威胁建模方法的功能。这些方法都可以在 敏捷 环境,具体取决于冲刺的时间范围以及重复建模的频率。


威胁%20Modeling%20Table.jpg
表3:威胁建模方法的功能

主题标签
1 回复
太极
帖子:83
主持人
(@太极)
会员
已加入:8个月前

有哪些建模方法?
•白板图
•集思广益
•结构化(“正式”)图
–数据流程图
–泳道
–状态机
•数学表示的代码

 

如何威胁模型(摘要)
•您要建造什么?
•可能出什么问题?
• 你打算怎么办呢?
•检查您在1-3上的工作

敏捷威胁建模资源

//thoughtworksinc.github.io/sensible-security-conversations/

有时间限制的STRIDE

背景

安全目标

有时您想与业务利益相关者进行一次练习,而不是专注于技术。这些可以帮助。

  • 的可打印HTML 威胁卡 用于在A4纸上打印
  • PDF版本 威胁卡 用于在A4纸上打印
回复
分享: