微软提出的STRIDE安全威胁建模学习小结

微软最早提出的STRIDE安全建模方法的，STRIDE的含义为：

STRIDE 威胁，代表六种安全威胁：身份假冒（Spoofing）、篡改（Tampering）、抵赖（Repudiation）、信息泄露（Information Disclosure）、拒绝服务（Denial of Service）、特权提升（Elevation of Privilege）。

身份假冒（Spoofing）
身份假冒，即伪装成某对象或某人。例如，我们通过伪造别人的 ID 进行操作。

篡改（Tampering）
篡改，即未经授权修改数据或者代码。例如，我通过网络抓包或者某种途径修改某个请求包，而服务端没有进行进一步的防范措施，使得我篡改的请求包提交成功。

抵赖（Repudiation）
抵赖，即拒绝执行他人无法证实也无法反对的行为而产生抵赖。例如，我攻击了某个产品，他们并不知道是我做的，没有证据证明是我做的，我就可以进行抵赖，换句话说，我可以死不承认。

信息泄露（Information Disclosure）
信息泄露，即将信息暴露给未授权用户。例如，我通过某种途径获取未经加密的敏感信息，例如用户密码。

拒绝服务（Denial of Service）
拒绝服务，即拒绝或降低有效用户的服务级别。例如，我通过拒绝服务攻击，使得其他正常用户无法使用产品的相关服务功能。

特权提升（Elevation of Privilege）
特权提升，即通过非授权方式获得更高权限。例如，我试图用管理员的权限进行业务操作。

安全要素
为了防范上面的 STRIDE 威胁，我们需要采用一些防范措施。

威胁    安全要素    消减技术
身份假冒    认证    Kerberos、SSL/TLS、证书、认证码等
篡改    完整性    访问控制列表、SSL/TLS、认证码等
抵赖    非抵赖/审计/记录    安全审计和日志记录、数字签名、可信第三方
信息泄露    保密    加密、访问控制列表
拒绝服务    可用性    访问控制列表、过滤、配额、授权
特权提升    授权    访问控制列表、角色控制、授权

 

下图对这六项信息各自进行了距离：

属性	威胁	定义	例子
认证	Spoofing（假冒）	冒充某人或某物	假冒billg、microsoft.com或ntdll.dll
完整性	Tampering（篡改）	修改数据和代码	修改一个DLL，或一个局域网的封包
不可抵赖性	Repudiation（否认）	宣称未做过某个行为	“我没有发送email” “我没有修改文件” “我肯定没有访问那个网站”
机密性	Information Disclosure（信息泄露）	暴露信息给未经授权的访问者	允许某人阅读Windows源代码；将客户列表发布在网站上
可用性	Denial of Service（拒绝服务）	使对服务对用户拒绝访问或降级	发送数据包使目标系统CPU满负荷或发送恶意代码使目标服务崩溃
授权	Elevation of Privlege（权限提升）	未经授权获取权限	远程用户执行任意代码，普通用户可以执行管理员私有的系统指令

---------------------------------------------------------------------------------

使用数据流关系图(DFD)来辅助STRIDE分析，将系统分解成部件，并证明每个部件都不易受相关威胁攻击。DFD正确是确保威胁模型正确的关键所在。FDF包含如下元素：
        数据流：通过网络连接，命名管道，RPC通道等移动的数据。
        数据存储：表示文件，数据库，注册表项以及类似项。
        进程：计算机运行的计算或程序。
        交互方：系统的端点，例如人，web服务器和服务器。
        信任边界：表示可信元素与不可信元素之间的边界。

    在应用STRIDE进行威胁建模分析时，需要注意的问题点：
        1、客户可能从来不会明确提出某些安全性的要求，因此，设计人员必须找到问题描述中内在的安全性要求。
        2、不仅必须从一个攻击者的角度来看待风险问题，还必须“同时”从所有的攻击者的角度来全盘考虑安全问题。
        3、DFD是否切合实际的常规判断依据：
            第一，数据不是凭空臆造的，确保对于每个数据存储，都有读取者或写入者。
            第二，注意数据传输过程的灵魂作用，确保始终有一个进程读取和写入数据。
            第三，将单个信任边界内的相似元素收缩为单个元素，以便于建模。
            第四，注意信任边界任一侧的建模细节，尝试显示更详细的信息。
       4、信任边界的真正定义——不相信另一端的任何事物。

       5、你根本想象不到其他人为何需要你的数据，你只需认为有人需要你的数据。
       6、你与客户相距越远，就越难以知道客户对于不同风险的承受程度。不要对客户的情形或风险承受程度做过多的假设。
       7、攻击者可能是内部人员，而不是外部人员。他们可能具有合法的访问权限，可以访问数据库以完成自己的工作。
       8、针对每个威胁和DFD中的每个元素进行分析：针对所有数据流和数据存储解决了篡改、信息泄露和拒绝服务威胁；针对所有进程解决了所有STRIDE威胁；针对所有交互方解决了假冒和否认威胁；并解决了影响信任边界的独特威胁。
       9、STRIDE模型很好的一点在于，它能让你洞察你所需的抑制措施的本质。
       10、使用预构建的威胁树可以确保不会忽略已知的攻击。
---------------------