威脅建模是一個(gè)嚴(yán)格的過(guò)程，旨在在設(shè)計(jì)的早期階段識(shí)別和糾正潛在的產(chǎn)品漏洞。您創(chuàng)建的威脅模型描述了您的產(chǎn)品組件如何與用戶一起工作，并列舉了潛在的威脅和減輕這些威脅的對(duì)策。理想情況下，您會(huì)希望在設(shè)計(jì)過(guò)程的早期對(duì)每個(gè)系統(tǒng)進(jìn)行威脅建模，此時(shí)可以以比產(chǎn)品完成時(shí)低得多的成本進(jìn)行更改。威脅建模是安全開(kāi)發(fā)生命周期 (SDL) 計(jì)劃的重要組成部分，可確保您的組件、系統(tǒng)和代碼在設(shè)計(jì)上得到適當(dāng)保護(hù)。威脅建模是軟件開(kāi)發(fā)人員和信息技術(shù)系統(tǒng)工程師和架構(gòu)師的一項(xiàng)重要工作。即使您沒(méi)有構(gòu)建您運(yùn)行的系統(tǒng)，定期進(jìn)行威脅建模練習(xí)會(huì)迫使您像攻擊者一樣思考，并會(huì)激發(fā)提高產(chǎn)品安全性的想法。當(dāng)然，只要對(duì)系統(tǒng)進(jìn)行重大更改，請(qǐng)務(wù)必更新現(xiàn)有的威脅模型。

威脅建模的核心是記錄系統(tǒng)設(shè)計(jì)元素的過(guò)程，特別是從攻擊者的角度來(lái)看對(duì)這些元素的威脅。該過(guò)程涉及了解系統(tǒng)的組件和用戶、這些組件和用戶之間的界限，以及攻擊者可能喜歡的攻擊路徑或威脅向量。這種觀點(diǎn)可幫助您采用基于風(fēng)險(xiǎn)的方法來(lái)設(shè)計(jì)減輕這些威脅的正確保護(hù)措施和對(duì)策。例如，威脅模型將突出顯示連接敏感數(shù)據(jù)存儲(chǔ)與公共 Web 服務(wù)器相鄰的風(fēng)險(xiǎn)，并指導(dǎo)選擇適當(dāng)?shù)倪壿嫲踩刂埔詫L(fēng)險(xiǎn)降低到可接受的水平。

威脅模型方法

即使互聯(lián)網(wǎng)在 20 世紀(jì) 90 年代初開(kāi)始興起，研究人員和科學(xué)家也已經(jīng)開(kāi)始考慮威脅建模。攻擊樹(shù)和威脅樹(shù)的早期模型是通過(guò)枚舉系統(tǒng)漏洞并系統(tǒng)地檢查攻擊者可能破壞系統(tǒng)的所有方式而開(kāi)發(fā)的。隨著 Internet 的擴(kuò)展和利用漏洞成為日常問(wèn)題，許多公司尋求在其產(chǎn)品的核心中構(gòu)建更好的安全性。例如，Microsoft 開(kāi)發(fā)了 STRIDE 威脅模型，該模型成為其自身安全開(kāi)發(fā)生命周期的重要組成部分。STRIDE 是一個(gè)系統(tǒng)的過(guò)程，用于發(fā)現(xiàn)潛在威脅并建議針對(duì)六個(gè)潛在威脅類別的緩解措施：

欺騙

篡改

否認(rèn)

信息披露

拒絕服務(wù)

特權(quán)提升

還有其他類型的威脅模型方法論，原理都是類似的。重要的是問(wèn)問(wèn)自己可能出了什么問(wèn)題，然后將這些潛在威脅分類以幫助您考慮適當(dāng)?shù)膶?duì)策的過(guò)程。例如，您可能將敏感數(shù)據(jù)通過(guò) HTTP 傳輸?shù)竭h(yuǎn)程系統(tǒng)視為潛在的信息泄露威脅，可以通過(guò)加密網(wǎng)絡(luò)流量來(lái)緩解這種威脅。

數(shù)據(jù)流程圖

威脅建模的基本要素是數(shù)據(jù)流圖 (DFD)，其中包括系統(tǒng)的所有重要組件及其交互。該圖顯示了所有關(guān)鍵組件和系統(tǒng)——無(wú)論它們分布在本地和云基礎(chǔ)設(shè)施中，還是駐留在一臺(tái)服務(wù)器上或單個(gè)應(yīng)用程序中。DFD 中的方法和詳細(xì)程度取決于您的設(shè)計(jì)。例如，如果您要在網(wǎng)絡(luò)上部署新的攝像機(jī)，您可能無(wú)法對(duì)攝像機(jī)軟件本身進(jìn)行威脅建模，但您應(yīng)該確定攝像機(jī)需要與之通信的所有周?chē)到y(tǒng)、它使用的協(xié)議以及誰(shuí)將訪問(wèn)它。請(qǐng)務(wù)必將此信息包含在您的 DFD 中。希望相機(jī)制造商也對(duì)他們的視頻軟件的開(kāi)發(fā)進(jìn)行威脅建模。例如，他們的軟件威脅模型可能會(huì)識(shí)別軟件用來(lái)隔離敏感數(shù)據(jù)并與其他對(duì)象和系統(tǒng)通信的內(nèi)部邊界、對(duì)象和方法。DFD 應(yīng)顯示對(duì)象及其對(duì)其他對(duì)象的請(qǐng)求和響應(yīng)，并清楚地劃定不同對(duì)象組之間的邊界。例如，您可能會(huì)顯示前端網(wǎng)絡(luò)應(yīng)用系統(tǒng)和更敏感的數(shù)據(jù)存儲(chǔ)之間的邏輯邊界。將您系統(tǒng)的用戶，特別是可能濫用您系統(tǒng)的參與者（或威脅代理）添加到您的 DFD 中。例如，在為您的系統(tǒng)建模授權(quán)流程時(shí)，將特權(quán)操作員與定期獲得證書(shū)的員工區(qū)分開(kāi)來(lái)。識(shí)別您的 DFD 中潛在的不良行為者并展示他們可能如何訪問(wèn)您的系統(tǒng)。軟件用來(lái)隔離敏感數(shù)據(jù)并與其他對(duì)象和系統(tǒng)通信的方法。DFD 應(yīng)顯示對(duì)象及其對(duì)其他對(duì)象的請(qǐng)求和響應(yīng)，并清楚地劃定不同對(duì)象組之間的邊界。例如，您可能會(huì)顯示前端網(wǎng)絡(luò)應(yīng)用系統(tǒng)和更敏感的數(shù)據(jù)存儲(chǔ)之間的邏輯邊界。將您系統(tǒng)的用戶，特別是可能濫用您系統(tǒng)的參與者（或威脅代理）添加到您的 DFD 中。例如，在為您的系統(tǒng)建模授權(quán)流程時(shí)，將特權(quán)操作員與定期獲得證書(shū)的員工區(qū)分開(kāi)來(lái)。識(shí)別您的 DFD 中潛在的不良行為者并展示他們可能如何訪問(wèn)您的系統(tǒng)。軟件用來(lái)隔離敏感數(shù)據(jù)并與其他對(duì)象和系統(tǒng)通信的方法。DFD 應(yīng)顯示對(duì)象及其對(duì)其他對(duì)象的請(qǐng)求和響應(yīng)，并清楚地劃定不同對(duì)象組之間的邊界。例如，您可能會(huì)顯示前端網(wǎng)絡(luò)應(yīng)用系統(tǒng)和更敏感的數(shù)據(jù)存儲(chǔ)之間的邏輯邊界。將您系統(tǒng)的用戶，特別是可能濫用您系統(tǒng)的參與者（或威脅代理）添加到您的 DFD 中。例如，在為您的系統(tǒng)建模授權(quán)流程時(shí)，將特權(quán)操作員與定期獲得證書(shū)的員工區(qū)分開(kāi)來(lái)。識(shí)別您的 DFD 中潛在的不良行為者并展示他們可能如何訪問(wèn)您的系統(tǒng)。DFD 應(yīng)顯示對(duì)象及其對(duì)其他對(duì)象的請(qǐng)求和響應(yīng)，并清楚地劃定不同對(duì)象組之間的邊界。例如，您可能會(huì)顯示前端網(wǎng)絡(luò)應(yīng)用系統(tǒng)和更敏感的數(shù)據(jù)存儲(chǔ)之間的邏輯邊界。將您系統(tǒng)的用戶，特別是可能濫用您系統(tǒng)的參與者（或威脅代理）添加到您的 DFD 中。例如，在為您的系統(tǒng)建模授權(quán)流程時(shí)，將特權(quán)操作員與定期獲得證書(shū)的員工區(qū)分開(kāi)來(lái)。識(shí)別您的 DFD 中潛在的不良行為者并展示他們可能如何訪問(wèn)您的系統(tǒng)。DFD 應(yīng)顯示對(duì)象及其對(duì)其他對(duì)象的請(qǐng)求和響應(yīng)，并清楚地劃定不同對(duì)象組之間的邊界。例如，您可能會(huì)顯示前端網(wǎng)絡(luò)應(yīng)用系統(tǒng)和更敏感的數(shù)據(jù)存儲(chǔ)之間的邏輯邊界。將您系統(tǒng)的用戶，特別是可能濫用您系統(tǒng)的參與者（或威脅代理）添加到您的 DFD 中。例如，在為您的系統(tǒng)建模授權(quán)流程時(shí)，將特權(quán)操作員與定期獲得證書(shū)的員工區(qū)分開(kāi)來(lái)。識(shí)別您的 DFD 中潛在的不良行為者并展示他們可能如何訪問(wèn)您的系統(tǒng)。將您系統(tǒng)的用戶，特別是可能濫用您系統(tǒng)的參與者（或威脅代理）添加到您的 DFD 中。例如，在為您的系統(tǒng)建模授權(quán)流程時(shí)，將特權(quán)操作員與定期獲得證書(shū)的員工區(qū)分開(kāi)來(lái)。識(shí)別您的 DFD 中潛在的不良行為者并展示他們可能如何訪問(wèn)您的系統(tǒng)。將您系統(tǒng)的用戶，特別是可能濫用您系統(tǒng)的參與者（或威脅代理）添加到您的 DFD 中。例如，在為您的系統(tǒng)建模授權(quán)流程時(shí)，將特權(quán)操作員與定期獲得證書(shū)的員工區(qū)分開(kāi)來(lái)。識(shí)別您的 DFD 中潛在的不良行為者并展示他們可能如何訪問(wèn)您的系統(tǒng)。

通過(guò)確定信任邊界、跨越這些邊界的通信以及構(gòu)成這些通信的人員和內(nèi)容的 DFD，您可以開(kāi)始查看對(duì)系統(tǒng)的潛在威脅。

威脅建模工具

如果您不熟悉威脅建模，那么識(shí)別正確的威脅可能會(huì)讓人不知所措。幸運(yùn)的是，有多種威脅建模工具可用于指導(dǎo)您完成此過(guò)程并幫助確定要查找的威脅類型。一種免費(fèi)且易于使用的工具是 Microsoft 威脅建模工具。雖然此工具面向軟件開(kāi)發(fā)人員和架構(gòu)師，但它也可以針對(duì)基本 IT 運(yùn)營(yíng)模型進(jìn)行擴(kuò)展。Microsoft 威脅建模工具在嘗試快速掌握威脅建模的基礎(chǔ)知識(shí)時(shí)特別有用。下載并安裝客戶端，您將在幾分鐘內(nèi)創(chuàng)建您的第一個(gè)威脅模型。按照以下步驟使用 Microsoft 威脅建模工具創(chuàng)建威脅模型：

通過(guò)拖放各種組件（例如數(shù)據(jù)庫(kù)、主機(jī)或移動(dòng)客戶端）并將它們與數(shù)據(jù)流操作鏈接起來(lái)，使用圖形界面創(chuàng)建 DFD。

套索對(duì)象以創(chuàng)建各種邊界。邊界示例包括物聯(lián)網(wǎng) (IoT) 設(shè)備區(qū)域、Azure 信任邊界和遠(yuǎn)程用戶區(qū)域。

自定義這些對(duì)象以反映您自己的環(huán)境。例如，將數(shù)據(jù)存儲(chǔ)對(duì)象屬性設(shè)置為您使用的特定 SQL 版本。

完成后，您可以運(yùn)行報(bào)告，該工具將使用這些對(duì)象、屬性和邊界來(lái)生成并向您顯示初步的威脅列表和建議的緩解措施。您將需要驗(yàn)證其假設(shè)并調(diào)整威脅模型以將其改進(jìn)為您的環(huán)境和特定用例。

還有許多其他針對(duì)特定類型的操作模型量身定制的強(qiáng)大的商業(yè)和社區(qū)威脅建模工具。例如，一種工具可能與敏捷軟件開(kāi)發(fā)過(guò)程集成得特別好，而另一種工具可能擅長(zhǎng)對(duì)傳統(tǒng)信息技術(shù)系統(tǒng)進(jìn)行建模，例如調(diào)出特定的防火墻和入侵檢測(cè)系統(tǒng)及其配置。其中一些工具執(zhí)行復(fù)雜的攻擊模擬，并托管在基于權(quán)限的協(xié)作 Web 平臺(tái)上，該平臺(tái)使您可以輕松地在團(tuán)隊(duì)成員之間共享威脅建模數(shù)據(jù)。

結(jié)論

威脅建模是一個(gè)直接的過(guò)程，用于識(shí)別您的系統(tǒng)、系統(tǒng)可能出現(xiàn)的問(wèn)題以及如何預(yù)防。然而，創(chuàng)建一個(gè)好的威脅模型有很多細(xì)微差別，你會(huì)希望確保你自己的過(guò)程捕獲正確的數(shù)據(jù)，這樣你就不會(huì)錯(cuò)過(guò)任何重要的事情。威脅建模工具在幫助提供此框架方面大有幫助。請(qǐng)記住利用 Internet 上的許多威脅建模資源來(lái)幫助您設(shè)計(jì)和構(gòu)建非常適合您自己環(huán)境的流程。

審核編輯hhy