當今社會,許多組織機構面臨前所未有的網絡威脅及內部威脅,其數據存儲、處理與傳輸均存在高危風險。由於存在這些威脅,企業日益關注網絡安全,使其成爲信息系統安全認證專業人員(CISSP或CISP)必需掌握的概念。
即使非常重視保護業務流程安全的企業也可能成爲網絡犯罪的受害者。遵守狹隘的安全標準也許不足以阻止或檢測複雜的網絡攻擊。威脅建模讓企業對最可能影響系統的各種網絡威脅進行系統性識別和評價。有了這些信息,您就可以按照一定的邏輯順序,利用適當的對策來處理現存的威脅,並從具有最大風險的威脅開始。
1. 什麼是威脅建模
利用抽象來幫助思考風險
威脅建模是一種結構化方法,用來識別、量化並應對威脅。威脅建模允許系統安全人員傳達安全漏洞的破壞力,並按輕重緩急實施補救措施。
1.1 威脅建模的三大主要元素
- 資產:應保護哪些有價值的數據和設備
- 威脅:攻擊者可能對系統實施的行爲
- 漏洞:有哪些漏洞讓攻擊者對系統構成威脅
1.2 威脅目標的三個主要層次
- 網絡:此威脅包括假冒、僞造和惡意的數據包等
- 主機:此威脅包括緩衝區溢出、惡意文件或代碼等
- 應用程序:此威脅包括跨站腳本攻擊(XSS)、SQL注入、輸入篡改等
2. 爲什麼要做威脅建模?
- 在早期發現 Bug
- 理解安全需求
- 建造和交付更好的產品
- 標記其他技術不能發現的問題
- 實驗出物理實體是否能否承受住攻擊等
3. 誰負責威脅模型,何時執行?
理想情況下,在系統設計過程中(部署之前)創建威脅模型。在實踐中,通常是爲現有系統創建威脅模型,使其成爲維護的一部分。安全經驗豐富的系統設計人員最有資格識別威脅。
4. 威脅建模步驟
- 識別資產:識別對組織機構具有價值的潛在資產:
- 入口和出口點
- 系統資產和資源
- 信任級別(訪問類別)
- 描述架構:在這個過程中,描述處理價值資產的架構,可能包括軟件架構、版本和其它架構詳情。
- 分解應用程序:分解與過程有關的應用程序,所有運行應用程序的子過程。
- 識別威脅:以描述的方式羅列威脅,以便審覈,作進一步處理。
- 將威脅分類
按照預定義分類對威脅進行分類,預定義分類如下:
| 分類 |
|---|
| 假冒身份 |
| 篡改數據 |
| 否認 |
| 信息泄露 |
| 拒絕服務 |
| 特權提升 |
- 評價威脅
這裏介紹Microsoft的DREAD模型對威脅的嚴重性進行評價:
- 破壞潛力:如果漏洞被利用,損失有多大?
- 再現性: 重複被利用的難度有多大?
- 可利用性:漏洞被利用的難度有多大?
- 受影響的用戶:多少用戶可能受到影響?
- 可發現性:漏洞容易被發現嗎?