威脅建模是一個嚴(yán)格的過程，旨在在設(shè)計的早期階段識別和糾正潛在的產(chǎn)品漏洞。您創(chuàng)建的威脅模型描述了您的產(chǎn)品組件如何與用戶一起工作，并列舉了潛在的威脅和減輕這些威脅的對策。理想情況下，您會希望在設(shè)計過程的早期對每個系統(tǒng)進(jìn)行威脅建模，此時可以以比產(chǎn)品完成時低得多的成本進(jìn)行更改。威脅建模是安全開發(fā)生命周期 (SDL) 計劃的重要組成部分，可確保您的組件、系統(tǒng)和代碼在設(shè)計上得到適當(dāng)保護(hù)。威脅建模是軟件開發(fā)人員和信息技術(shù)系統(tǒng)工程師和架構(gòu)師的一項重要工作。即使您沒有構(gòu)建您運行的系統(tǒng)，定期進(jìn)行威脅建模練習(xí)會迫使您像攻擊者一樣思考，并會激發(fā)提高產(chǎn)品安全性的想法。當(dāng)然，只要對系統(tǒng)進(jìn)行重大更改，請務(wù)必更新現(xiàn)有的威脅模型。

威脅建模的核心是記錄系統(tǒng)設(shè)計元素的過程，特別是從攻擊者的角度來看對這些元素的威脅。該過程涉及了解系統(tǒng)的組件和用戶、這些組件和用戶之間的界限，以及攻擊者可能喜歡的攻擊路徑或威脅向量。這種觀點可幫助您采用基于風(fēng)險的方法來設(shè)計減輕這些威脅的正確保護(hù)措施和對策。例如，威脅模型將突出顯示連接敏感數(shù)據(jù)存儲與公共 Web 服務(wù)器相鄰的風(fēng)險，并指導(dǎo)選擇適當(dāng)?shù)倪壿嫲踩刂埔詫L(fēng)險降低到可接受的水平。

威脅模型方法

即使互聯(lián)網(wǎng)在 20 世紀(jì) 90 年代初開始興起，研究人員和科學(xué)家也已經(jīng)開始考慮威脅建模。攻擊樹和威脅樹的早期模型是通過枚舉系統(tǒng)漏洞并系統(tǒng)地檢查攻擊者可能破壞系統(tǒng)的所有方式而開發(fā)的。隨著 Internet 的擴展和利用漏洞成為日常問題，許多公司尋求在其產(chǎn)品的核心中構(gòu)建更好的安全性。例如，Microsoft 開發(fā)了 STRIDE 威脅模型，該模型成為其自身安全開發(fā)生命周期的重要組成部分。STRIDE 是一個系統(tǒng)的過程，用于發(fā)現(xiàn)潛在威脅并建議針對六個潛在威脅類別的緩解措施：

欺騙

篡改

否認(rèn)

信息披露

拒絕服務(wù)

特權(quán)提升

還有其他類型的威脅模型方法論，原理都是類似的。重要的是問問自己可能出了什么問題，然后將這些潛在威脅分類以幫助您考慮適當(dāng)?shù)膶Σ叩倪^程。例如，您可能將敏感數(shù)據(jù)通過 HTTP 傳輸?shù)竭h(yuǎn)程系統(tǒng)視為潛在的信息泄露威脅，可以通過加密網(wǎng)絡(luò)流量來緩解這種威脅。

數(shù)據(jù)流程圖

威脅建模的基本要素是數(shù)據(jù)流圖 (DFD)，其中包括系統(tǒng)的所有重要組件及其交互。該圖顯示了所有關(guān)鍵組件和系統(tǒng)——無論它們分布在本地和云基礎(chǔ)設(shè)施中，還是駐留在一臺服務(wù)器上或單個應(yīng)用程序中。DFD 中的方法和詳細(xì)程度取決于您的設(shè)計。例如，如果您要在網(wǎng)絡(luò)上部署新的攝像機，您可能無法對攝像機軟件本身進(jìn)行威脅建模，但您應(yīng)該確定攝像機需要與之通信的所有周圍系統(tǒng)、它使用的協(xié)議以及誰將訪問它。請務(wù)必將此信息包含在您的 DFD 中。希望相機制造商也對他們的視頻軟件的開發(fā)進(jìn)行威脅建模。例如，他們的軟件威脅模型可能會識別軟件用來隔離敏感數(shù)據(jù)并與其他對象和系統(tǒng)通信的內(nèi)部邊界、對象和方法。DFD 應(yīng)顯示對象及其對其他對象的請求和響應(yīng)，并清楚地劃定不同對象組之間的邊界。例如，您可能會顯示前端網(wǎng)絡(luò)應(yīng)用系統(tǒng)和更敏感的數(shù)據(jù)存儲之間的邏輯邊界。將您系統(tǒng)的用戶，特別是可能濫用您系統(tǒng)的參與者（或威脅代理）添加到您的 DFD 中。例如，在為您的系統(tǒng)建模授權(quán)流程時，將特權(quán)操作員與定期獲得證書的員工區(qū)分開來。識別您的 DFD 中潛在的不良行為者并展示他們可能如何訪問您的系統(tǒng)。軟件用來隔離敏感數(shù)據(jù)并與其他對象和系統(tǒng)通信的方法。DFD 應(yīng)顯示對象及其對其他對象的請求和響應(yīng)，并清楚地劃定不同對象組之間的邊界。例如，您可能會顯示前端網(wǎng)絡(luò)應(yīng)用系統(tǒng)和更敏感的數(shù)據(jù)存儲之間的邏輯邊界。將您系統(tǒng)的用戶，特別是可能濫用您系統(tǒng)的參與者（或威脅代理）添加到您的 DFD 中。例如，在為您的系統(tǒng)建模授權(quán)流程時，將特權(quán)操作員與定期獲得證書的員工區(qū)分開來。識別您的 DFD 中潛在的不良行為者并展示他們可能如何訪問您的系統(tǒng)。軟件用來隔離敏感數(shù)據(jù)并與其他對象和系統(tǒng)通信的方法。DFD 應(yīng)顯示對象及其對其他對象的請求和響應(yīng)，并清楚地劃定不同對象組之間的邊界。例如，您可能會顯示前端網(wǎng)絡(luò)應(yīng)用系統(tǒng)和更敏感的數(shù)據(jù)存儲之間的邏輯邊界。將您系統(tǒng)的用戶，特別是可能濫用您系統(tǒng)的參與者（或威脅代理）添加到您的 DFD 中。例如，在為您的系統(tǒng)建模授權(quán)流程時，將特權(quán)操作員與定期獲得證書的員工區(qū)分開來。識別您的 DFD 中潛在的不良行為者并展示他們可能如何訪問您的系統(tǒng)。DFD 應(yīng)顯示對象及其對其他對象的請求和響應(yīng)，并清楚地劃定不同對象組之間的邊界。例如，您可能會顯示前端網(wǎng)絡(luò)應(yīng)用系統(tǒng)和更敏感的數(shù)據(jù)存儲之間的邏輯邊界。將您系統(tǒng)的用戶，特別是可能濫用您系統(tǒng)的參與者（或威脅代理）添加到您的 DFD 中。例如，在為您的系統(tǒng)建模授權(quán)流程時，將特權(quán)操作員與定期獲得證書的員工區(qū)分開來。識別您的 DFD 中潛在的不良行為者并展示他們可能如何訪問您的系統(tǒng)。DFD 應(yīng)顯示對象及其對其他對象的請求和響應(yīng)，并清楚地劃定不同對象組之間的邊界。例如，您可能會顯示前端網(wǎng)絡(luò)應(yīng)用系統(tǒng)和更敏感的數(shù)據(jù)存儲之間的邏輯邊界。將您系統(tǒng)的用戶，特別是可能濫用您系統(tǒng)的參與者（或威脅代理）添加到您的 DFD 中。例如，在為您的系統(tǒng)建模授權(quán)流程時，將特權(quán)操作員與定期獲得證書的員工區(qū)分開來。識別您的 DFD 中潛在的不良行為者并展示他們可能如何訪問您的系統(tǒng)。將您系統(tǒng)的用戶，特別是可能濫用您系統(tǒng)的參與者（或威脅代理）添加到您的 DFD 中。例如，在為您的系統(tǒng)建模授權(quán)流程時，將特權(quán)操作員與定期獲得證書的員工區(qū)分開來。識別您的 DFD 中潛在的不良行為者并展示他們可能如何訪問您的系統(tǒng)。將您系統(tǒng)的用戶，特別是可能濫用您系統(tǒng)的參與者（或威脅代理）添加到您的 DFD 中。例如，在為您的系統(tǒng)建模授權(quán)流程時，將特權(quán)操作員與定期獲得證書的員工區(qū)分開來。識別您的 DFD 中潛在的不良行為者并展示他們可能如何訪問您的系統(tǒng)。

通過確定信任邊界、跨越這些邊界的通信以及構(gòu)成這些通信的人員和內(nèi)容的 DFD，您可以開始查看對系統(tǒng)的潛在威脅。

威脅建模工具

如果您不熟悉威脅建模，那么識別正確的威脅可能會讓人不知所措。幸運的是，有多種威脅建模工具可用于指導(dǎo)您完成此過程并幫助確定要查找的威脅類型。一種免費且易于使用的工具是 Microsoft 威脅建模工具。雖然此工具面向軟件開發(fā)人員和架構(gòu)師，但它也可以針對基本 IT 運營模型進(jìn)行擴展。Microsoft 威脅建模工具在嘗試快速掌握威脅建模的基礎(chǔ)知識時特別有用。下載并安裝客戶端，您將在幾分鐘內(nèi)創(chuàng)建您的第一個威脅模型。按照以下步驟使用 Microsoft 威脅建模工具創(chuàng)建威脅模型：

通過拖放各種組件（例如數(shù)據(jù)庫、主機或移動客戶端）并將它們與數(shù)據(jù)流操作鏈接起來，使用圖形界面創(chuàng)建 DFD。

套索對象以創(chuàng)建各種邊界。邊界示例包括物聯(lián)網(wǎng) (IoT) 設(shè)備區(qū)域、Azure 信任邊界和遠(yuǎn)程用戶區(qū)域。

自定義這些對象以反映您自己的環(huán)境。例如，將數(shù)據(jù)存儲對象屬性設(shè)置為您使用的特定 SQL 版本。

完成后，您可以運行報告，該工具將使用這些對象、屬性和邊界來生成并向您顯示初步的威脅列表和建議的緩解措施。您將需要驗證其假設(shè)并調(diào)整威脅模型以將其改進(jìn)為您的環(huán)境和特定用例。

還有許多其他針對特定類型的操作模型量身定制的強大的商業(yè)和社區(qū)威脅建模工具。例如，一種工具可能與敏捷軟件開發(fā)過程集成得特別好，而另一種工具可能擅長對傳統(tǒng)信息技術(shù)系統(tǒng)進(jìn)行建模，例如調(diào)出特定的防火墻和入侵檢測系統(tǒng)及其配置。其中一些工具執(zhí)行復(fù)雜的攻擊模擬，并托管在基于權(quán)限的協(xié)作 Web 平臺上，該平臺使您可以輕松地在團(tuán)隊成員之間共享威脅建模數(shù)據(jù)。

結(jié)論

威脅建模是一個直接的過程，用于識別您的系統(tǒng)、系統(tǒng)可能出現(xiàn)的問題以及如何預(yù)防。然而，創(chuàng)建一個好的威脅模型有很多細(xì)微差別，你會希望確保你自己的過程捕獲正確的數(shù)據(jù)，這樣你就不會錯過任何重要的事情。威脅建模工具在幫助提供此框架方面大有幫助。請記住利用 Internet 上的許多威脅建模資源來幫助您設(shè)計和構(gòu)建非常適合您自己環(huán)境的流程。

審核編輯hhy