用攻击树描述安全问题

目录

1. 攻击树思考的问题：

2. 攻击树的定义：

3. 攻击树的结构：

4.攻击树的类型：

5.如何构建攻击树

 

      近来尝试做安全分析，从不同的安全检测方法层面，提升到思考各种安全检测方法所面对的攻击场景，以及攻击场景之间的联系，希望有一种系统的方法描述围绕整个攻击目标做场景分析。同事推荐了攻击树，我最开始以为是不是类似与“攻击链”，仔细看完觉得还是有很大的区别哦。

1. 攻击树思考的问题：

 

2. 攻击树的定义：

        攻击树根据不同的攻击提供了一种正式的、有系统的方法来描述系统的安全性。基本上，您在树结构中表示对系统的攻击，目标是根节点，实现目标的不同方法是叶节点。

        攻击树是对已定义系统执行威胁和风险分析的正式方法。

3. 攻击树的结构：

图1 攻击树结构举例

 

攻击树由两（2）个主要元素组成：叶子节点和根节点.

• 根节点是攻击目标
• 叶子节点是特定的攻击（或子目标）.
• And/ Or 节点代表不同程度地实现攻击：And节点意味着所有必须实现子攻击；Or节点意味着必须至少实现一次攻击。

对每个叶子节点需要定义一个值，值得类型是：

• 布尔型：发生或不发生
• 连续值：代价、风险等。上图以代价为叶子节点得值。

 

4.攻击树的类型：

      攻击树允许我们在攻击发生前调查可能得攻击事件，理解其风险和收益。

有两种类型的攻击树：

1. 理解哪些攻击我们可以采用，攻击成功有哪些风险和收益，需要做哪些投入，例如事件和金钱来发动攻击。例如图1
2. 使用what-if图，描述攻击中所遇到的问题和怎么做。在图中如果我们失败了，我们会回到树形攻击图来执行第二条路径

图2 what-if攻击图

 

5.如何构建攻击树

• 识别目标，如果有多个目标，则每个目标建立一个独立的攻击树
• 识别所有可能的场景（攻击），用以实施并达到目标
• 识别可能和不可能的场景

其中：蓝色的是目标，红色的是可能的场景，灰色是不可能的场景

• 评估每个场景的可行性，计算公式是：

其中：p设计攻击成功的收益，r是风险，c是代价

• 识别执行场景所需要的信息，识别方法是what-if攻击树（如果获取不到信息会怎么样，如图2所示）。