HSSEDI 构建可用的高级威胁模型
HSSEDI(美国国土安全系统工程与开发研究所)基于调研分析的基础上,着手构建了一个高级的适合多种场景的威胁模型。
不同级别的威胁建模组合方法
所调查的单个模型框架都难覆盖全部用途或范围,所需的威胁建模框架应可以在多个尺度上使用,并针对不同的目的进行定制,NGCI Apex的主要思路是通过两个不同的活动线程来构建,网络技术的转换及增强的网络攻防演练。
图:NGCI Apex网络威胁模型的使用方法
因此,高级别威胁模型,应支持技术的探寻、高级别或部门范围的风险评估或一般事件的网络推演;详细的威胁模型,应支持在典型的环境下评估特定的威胁行为,其中事件根据特定系统、技术或目标进行描述,制定高级的网络剧本,建议的采取针对威胁事件类型的行动;实例化的威胁模型,由个体机构如FSS金融相关机构,支持详细的剧本开发,针对组织特定的环境,来实例化威胁模型,用于运营的测试和集成部署。
威胁模型的详细程度和系统和资产的模型的程度紧密相关,如下图所述,特定的威胁事件或关注的场景,基于对手特征的选择,要能考虑到系统特征和在系统资产上作用的效果,威胁模型和系统及资产模型的交叉处可有不同的威胁模型的用法。
图:威胁模型详细级别依赖资产和系统的模型
NIST SP800-30R1识别了威胁的多个方面。威胁源,在对抗性威胁中就是威胁参与者,具有能力、意图、目标多个特征,这多个特征可以利用其它的信息或模型,用一组的信息进行映射。敌手活动的后果和影响,后果需要区分那些无意和恶意的。
虽然 NIST 模型提供建议的威胁事件示例,但并没有确定适用于特定组织及其环境的示例,或者将它们组合成的威胁场景。这就可以使用多种方法开发威胁场景,如攻击树、网络攻击生命周期等方法。则威胁场景的构建块则是由独立的威胁事件或一组威胁事件的攻击模式,下一节会有威胁场景构建块的示例。而ATT&CK和CAPEC(特定的已知的威胁事件的模式)可用作填充威胁场景的内容。
威胁模型的高阶框架及组件
根据上节描述的构建威胁模型的组合方法,首先要描述一个高阶的网络威胁模型框架,需要提供关键的组件和关系、典型的组件和关系示例,及描述从框架如何产生威胁场景。NGCI Apex构建的威胁模型框架基于NIST SP800-30R1,如下图所示。
图:网络威胁模型的关键组件关系
需要注意的是该模型框架还必须支持可用于评估替代技术、架构、流程和程序的模型,也能适应对抗性威胁和非对抗性威胁的方式,例如自然灾害导致的正常业务流程重点可能会被网络对手利用,攻击者常利用人为错误。
攻击者意图
对于对抗性威胁,攻击者的意图的子特征包括:目标或动机、期望的效果、时间、持久性等需要与其他组件相关联。
图:对抗性威胁的威胁关键组件关系
典型的攻击者意图的特征,如目标、网络攻击效果、组织的后果的示例:
图:攻击者意图示例1
与攻击者意图相关的特征,包括时间范围、持久性、隐身性、攻击生命周期阶段的示例
图:攻击者意图相示例2
攻击者的目标
攻击者选择威胁事件的目的,是在某个位置造成影响,因此可通过确定位置来识别目标。攻击者目标的子特征主要是预期效果的范围或规模以及资产类型。典型的资产类型可包括五大类:设备、应用程序、网络、数据和人员,也可根据企业特定的企业架构等来定义。
图:攻击者的范围和目标示例
行为或威胁事件
根据所需要的详细程度,可以参考不同的资源模型提取威胁事件。比如从NIST SP800‑30R1获取一般性的威胁事件,从ATT&CK 和CAPEC获取更具体的对抗性威胁事件或行为。威胁事件发生的可能性和行为与威胁源的特征有关,比如,威胁事件关联到攻击生命周期的哪个阶段,仅仅与攻击者在这个阶段的攻击有关,威胁事件关联到相应的攻击向量中,与该攻击向量包含在攻击发生的技术和操作环境的模型或假设集合中相关。威胁事件发生在一个或多个位置,并且可能具有持续时间。威胁事件可具有一种或多种效果。
威胁场景
网络攻防演练、风险评估或技术评估的威胁场景可通过多种方式开发,具体取决于规模、范围或要评估的技术的假设环境等因素。场景开发可以从几个方面开始:
- 历史事件,可以是现实的攻击事件或公共的攻击事件,场景的规模可以从非常狭窄到战略级的。
- 假设的行业级攻击,如大范围的攻防演习。可能集中在对共享基础设施或服务的攻击,或针对特定关键基础设施的攻击,这种类型的情景侧重于战略级的。
- 特定的资产(服务或数据库),作为故障树分析的起点
构建攻击者及威胁事件列表
基于上节所描述的威胁模型框架和关键组件,下文假设金融机构必须为这些威胁做好准备。
攻击者的特征
可以看到这里对攻击者的特征描述了目标、参与者和攻击目标,对攻击者能力的描述可以隐含在参与者中。
图:攻击者的特征列表示例
攻击者行为和威胁事件
下表展示了一组初始的攻击者行为和相关的威胁事件,其中部分事件来源于NIST SP800-30R1,最后一列补充了该威胁事件识别用于技术的分析,对应与前文所述的网络防御矩阵中,也表述了识别出的防御能力应用于减少对应的威胁事件发生的可能性的。
图:威胁事件列表示例
下一个详细级别的威胁模型将基于关于运营和技术环境的既定假设,关于技术环境的假 设可以包括产品、产品套件或被视为目标的资源类和子类的标准的识别。威胁事件的分类则采用CAPEC, ATT&CK等模型更有用处。
构建有代表性的威胁场景
一些通用的威胁场景可适合开发更详细场景的起点,如下为9类通用场景:
- 违规,从机构的系统中获取敏感信息
- 欺诈,修改或伪造机构系统上的信息
- 滥用,修改或制造软件或配置数据,以便对手可以指导他们使用
- 破坏,对手修改或破坏机构资产以阻止机构完成其主要业务功能
- 友军火力,攻击者欺骗业务领域经理或网络防御人员采取破坏运营的行动。
- 上游攻击,攻击者危害供应商或合作伙伴以增加机构的攻击脆弱性
- 声誉受损,破坏机构运作或捏造信息
- 跳板攻击,攻击者破坏机构的系统,以便攻击下游实体
- 勒索,攻击者修改或破坏商业资产以获得经济利益
与前文的方法类似,识别出威胁事件的,典型的参与者及其最终目标,以及在攻击过程中必须破坏的典型中间目标。通过创建威胁场景构建块,创建完整的威胁场景,构建块可根据威胁事件的内容进行裁剪。
图:威胁场景构建块示例
小结
从以上对主要威胁建模模型的比较及NGCI Apex计划构建的模型框架,对在何时和如何使用威胁分析,提供了指导:
- 现有大量的威胁模型是从各种角度开发的,如通用的风险框架和方法;通用的网络威胁模型框架;面向企业IT环境的,包括技术为中心的、TTP为中心的;面向非IT环境的。NIST SP800-30R1、ATT&CK 和 CAPEC提供了不同具体程度的威胁事件,可在不同的威胁建模场景中引用。
- 网络威胁建模对于企业来说主要有三种不同的目的,风险管理的指标定义和评估输入,风险评估的过程中的威胁建模;构建网络攻防演练的威胁场景,用于渗透测试、攻击模拟等;技术评估和探寻,产品开发等。网络防御矩阵被大量使用,横纵向可采用不同的内容,以映射威胁的缓解措施和评估相关领域的安全技术。
- 面对复杂的环境,威胁建模应分为三个详细级别,高阶的威胁建模、详细的威胁建模、实例化威胁建模。详细的威胁模以详细的通用技术和攻击模型为主要目标,实例化的威胁模型则对应于特定环境的详细的目标、能力和行为。而威胁建模的方法,可从威胁为中心、系统为中心、资产为中心三个不同的建模方法开始,建模的详细级别取决于建模的目的、范围,也取决于系统和资产模型的详细程度。
- 企业构建的威胁模型和内容应具备一定的适用性、可采用性、可扩展性的特征,通过构建适合企业的威胁模型框架,描述威胁模型中组件的关系,可帮助导出具体的威胁场景,进行下一步的具体分析。
- 在我们实际的安全规划或安全建设的实际场景中,也应该基于以上的分析和建议方法,一方面首先要理清威胁建模及分析的目标、范围和需要的结果,比如是对关键信息基础设施、应用开发领域的威胁分析,都有不同的目标要求;然后基于威胁框架构建威胁场景,填充相关的内容;另一方面要结合客户现有环境能提供的资产/系统信息模型,这些基础模型为威胁分析的准确性提供了保障。