了解威胁建模框架、方法和工具可以帮你更好地识别、量化和排序面临的威胁。
威胁建模是一个结构化的过程,IT专业人员可以通过该过程识别潜在的安全威胁和漏洞,量化每个威胁的严重性,并确定技术的优先级以缓解攻击并保护IT资产。
这个宽泛的定义听起来可能像是网络安全专业人员的职位描述,但是威胁模型的重要之处在于它是系统的和结构化的。威胁建模人员将执行一系列具体步骤,以全面了解他们试图保护的IT环境,识别漏洞和潜在攻击者。
总的来说,威胁建模在某种程度上仍然是科学和艺术的综合体,并没有单一的威胁建模过程规范。威胁建模的实践借鉴了各种早期的安全实践,最著名的是1990年代开发的“ 攻击树 ” 的概念。1999年,Microsoft员工Loren Kohnfelder和Praerit Garg在公司内部分发了一份名为“ 我们产品的威胁 ” 的文件¹,该文件被许多人认为是威胁建模的第一个明确描述。
Kohnfelder和Garg将他们的建议称为“ STRIDE框架”,我们将在本文后面详细讨论它的细节。如今我们已经拥有各种各样的威胁建模框架和方法,这些模型侧重点不同,其中一些模型针对特定安全技术领域,例如,应用程序安全。在本文中,我们将帮助您了解所有这些方法的共同点,以及哪种特定的技术可能适合您。
威胁建模流程和步骤
每种的威胁建模方法都包含一系列步骤,我们将在本文后面的部分中讨论每个步骤的细微差别。首先,我们将看一下所有这些方法共有的基本逻辑流程。对威胁建模过程最简洁明了的概述之一来自软件工程师Goran Aviani,他指出威胁模型的目的是回答四个问题:
反过来,威胁建模过程应包括四个主要步骤,每个步骤都会为这些问题之一提供答案。
为了准确了解这些步骤中的每个步骤,我们需要讨论构成威胁建模基础的特定技术。
威胁建模技术
上面列出的步骤中,最陌生的术语可能是分解(Decompose)。分解应用程序或基础架构意味着什么?软件工程师Andrea Della Corte认为,广义上讲,分解应用程序包括“了解应用程序及其与外部实体的交互方式。这涉及创建用例,以了解应用程序的使用方式,确定入口点以查看潜在的攻击者可以在哪里与应用程序进行交互,确定资产(即攻击者可能会感兴趣的项目/区域),并标识表示应用程序将授予外部实体的访问权限的信任级别。” (他在这里专门谈论应用程序安全性,但是显然,从广义上讲,这也适用于对基础结构的看法。)
分解应用程序的一种技术是构建数据流程图。这是1970年代开发的一种方法,以可视方式展示数据如何在应用程序或系统中移动,以及各个组件在何处更改或存储数据。其中信任边界是在2000年代初期添加进来的概念,特指数据流中的卡点,在该点上需要对数据进行验证,然后数据才能被接收该数据的实体使用。信任边界是用数据流程图进行威胁建模的关键。
在线银行应用的数据流程图示例
下图是在线银行应用程序的数据流程图;虚线表示信任边界,数据可能会在信任边界被更改,因此需要采取安全措施。
网上银行应用程序的数据流程图(作者为Wei Zhang和Marco Morana,以OWASP许可分发)
更深入的数据流程图威胁建模方法可以参考微软的这个文档²。
由于数据流程图是由系统工程师而不是安全专家开发的,因此它们包含了许多威胁建模不需要的开销。数据流程图的一种替代方法是过程流程图。两者在总体概念上相似,但后者更加精简,并且侧重于用户和执行代码在系统中的移动方式,更紧密地反映了攻击者的思维方式(例如下图)。
绘制攻击树也是一种威胁建模技术,当您确定要对应用程序或基础结构潜在威胁的阶段时,它就变得非常重要。攻击树由90年代后期的信息安全传奇人物布鲁斯·施耐尔(Bruce Schneier)开创。它们由代表不同事件的一系列父节点和子节点组成,子节点是必须满足的条件才能使父节点为真。根节点(图中的最高父节点)是攻击的总体目标。借助攻击树,威胁建模者可以看到必须组合哪些情况才能使威胁成功。下图显示了一个简单的银行应用攻击树,说明了病毒可能成功感染文件的不同方式。
下图是Hackinthebox从攻击者的角度构建的攻击树示例,可以帮助您了解自己所面临的威胁。
确定对策和对威胁进行排序的技术因框架或方法不同而相差较大,详细介绍如下:
威胁建模框架和方法
威胁建模的各种结构化方法通常称为框架或方法论(本文中这两个术语基本上可以互换使用)。目前的威胁建模框架和方法有很多,我们挑几个最流行的介绍如下:
7种顶级威胁建模方法
STRIDE威胁建模
如上所述,STRIDE是威胁建模的祖父,最早于90年代末在Microsoft开发。STRIDE代表六种威胁,每种都对CIA三要素构成威胁,具体如下:
DREAD威胁建模
DREAD被认为是STRIDE模型的一个附加组件,该模型使建模人员可以在确定威胁后对其进行排名。对于每个潜在威胁,DREAD代表六个问题:
这些问题中的每一个都得到1-3分的评分。
PASTA威胁建模
PASTA代表攻击模拟和威胁分析过程,它是一个七步骤过程,致力于使技术安全要求与业务目标保持一致。每个步骤都非常复杂,由几个子步骤组成,但是总体顺序如下:
VAST威胁建模
VAST代表可视化,敏捷威胁建模。该模型是 ThreatModeler(自动威胁建模平台)的基础,该平台可以区分应用程序和运营威胁模型。VAST专为集成到围绕devops构建的工作流中而设计。
Trike威胁建模
Trike是用于威胁建模和风险评估的框架的开源工具,它基于防御的角度,而不是试图模仿攻击者的思维过程。使用Trike,您可以为要防御的系统建模,并通过CRUD的角度评估每个组件,也就是说,谁可以创建,读取,更新或删除该实体。通过遍历数据流程图来识别威胁,每种威胁仅分为两类:拒绝服务或特权提升。
OCTAVE威胁建模
OCTAVE代表“运营关键威胁,资产和脆弱性评估”,是卡耐基梅隆大学开发的一种威胁建模方法,其重点是组织风险而不是技术风险。它包括三个阶段:
NIST威胁建模
美国国家标准技术研究院拥有自己的以数据为中心的威胁建模方法,该方法包括四个步骤:
该NIST草案还包括一个方法的具体应用实例。如果您正在寻找威胁建模示例,那么这是一个很棒的文档,可以阅读该文档以了解流程如何工作。
威胁建模最佳实践
无论选择哪种框架,都应遵循一些实践方法。但最重要的(通常也是很难做到的)是将威胁建模作为系统开发过程中的优先事项。如果能在项目开发伊始就做到这一点,以后可以省去很多麻烦,因为安全性可以被深深“植入”到应用程序或系统中。
另一个最佳实践是不要将应用程序和系统彼此隔离。Michael Santarcangelo写道: “如果各种威胁模型以相同的方式相互连接,并且应用程序和组件作为IT系统的一部分进行交互,那么结果将是一个全面的攻击面,CISO可以使用该攻击面来理解整个企业的整体威胁组合。”
我们还敦促您避免常见的威胁建模错误。简而言之:不要过于关注头条新闻上的威胁;不要忘记,您的用户可能是所有人中最大的无意威胁。并且不要忘记,威胁模型应该是“活着”的文档,并且需要不断更新。
威胁建模工具
需要指出的是,上面列出的两种方法(VAST和Trike)实际上是围绕特定的软件工具构建的。还有一些支持其他方法的工具,例如,Microsoft提供了免费的威胁建模工具,而OWASP Foundation也推出了自己的桌面和web版本的威胁建模工具——Threat Dragon³。
实际上,这里描述的许多方法都是概念性的,并未与任何软件联系在一起。攻击树或数据流程图可以用笔和纸绘制。正如Luca Bongiorni的演讲所解释的那样,用于威胁建模的一些最受欢迎的工具是Microsoft Visio和Excel。开始为基础架构进行威胁建模的门槛很低,但回报却很高。
参考资料:
【1】最早的威胁建模论文:
https://www.microsoft.com/security/blog/2009/08/27/the-threats-to-our-products/
【2】Uncover Security Design Flaws Using The STRIDE Approach:
https://docs.microsoft.com/en-us/archive/msdn-magazine/2006/november/uncover-security-design-flaws-using-the-stride-approach
【3】OWASP威胁建模工具:
Threat Dragon:https://owasp.org/www-project-threat-dragon/