【网络安全】有效威胁模型的特征

1. 威胁建模简介

威胁建模是识别资产、其漏洞以及每种资产如何暴露于威胁的过程。它是一种战略方法，结合了各种安全活动，例如漏洞管理、威胁分析和事件响应。安全团队通常会执行这些演练，以确保其系统得到充分保护。威胁建模的另一个用途是主动寻找降低任何系统或业务流程风险的方法。

传统上，威胁建模与应用程序开发领域相关。本文将介绍用于设计能够抵御攻击的软件的常见威胁建模框架。您还将了解日益增长的应用程序安全需求以及您可以参与其中的方式。

2. 为什么应用程序安全很重要

应用程序已成为许多组织成功的关键要素。例如，基于 Web 的应用程序允许世界各地的客户与企业、合作伙伴以及其他客户建立联系。

移动应用程序也改变了人们访问数字世界的方式。智能手机通常是用户与企业之间交换数据的主要方式。应用程序处理的数据量巨大，因此，确保应用程序的安全是降低所有联网用户风险的关键。

例如，假设某个应用程序使用基于 Java 的日志库，但存在 Log4Shell 漏洞（CVE-2021-44228）。如果不进行修补，此漏洞可能允许远程代码执行，攻击者可以利用此漏洞从世界任何地方完全访问您的系统。此类严重漏洞一旦被利用，可能会影响数百万台设备。

3. 防御应用层

防御应用层需要进行适当的测试，以发现可能导致风险的弱点。威胁建模是确保应用程序满足安全要求的主要方法之一。通常由 DevSecOps 团队（代表开发、安全和运营）执行这些分析。

典型的威胁建模过程以循环方式进行：

1. 定义范围
2. 识别威胁
3. 描述环境
4. 分析威胁
5. 降低风险
6. 评估结果
   
   理想情况下，威胁建模应该在应用程序开发之前、开发过程中和开发之后进行。然而，进行彻底的软件分析需要时间和资源。从应用程序的架构到其业务目的，一切都应该进行评估。因此，多年来，人们开发了许多威胁建模框架，以使这一过程更加顺畅。

注意：威胁建模应该纳入软件开发生命周期（SDLC）的每个阶段。

4. 通用框架

执行威胁建模时，可以使用多种方法，例如：

• STRIDE
• PASTA
• Trike
• VAST

4.1 STRIDE

STRIDE 是 Microsoft 开发的威胁建模框架。它通常用于识别六种特定攻击向量中的漏洞。其首字母缩写分别代表以下攻击向量：欺骗、篡改、否认、信息泄露、拒绝服务和特权提升。

4.2 PASTA

攻击模拟和威胁分析流程( PASTA) 是由两位 OWASP 领导者开发，并由网络安全公司 VerSprite 提供支持的以风险为中心的威胁建模流程。其主要目标是发现潜在威胁的证据，并将这些信息表示为模型。PASTA 基于证据的设计可用于对应用程序或支持该应用程序的环境进行威胁建模。其七阶段流程包含各种活动，这些活动会整合环境中相关的安全构件，例如漏洞评估报告。

4.3 Trike

Trike 是一种开源方法论和工具，它采用以安全为中心的方法进行威胁建模。它通常用于关注安全权限、应用程序用例、特权模型以及其他支持安全环境的元素。

4.4 VAST

可视化、敏捷、简易威胁 (VAST) 建模框架是自动化威胁建模平台 ThreatModeler® 的一部分。许多安全团队选择使用 VAST 来自动化和简化其威胁建模评估。

5. 参与威胁建模

威胁建模通常由经验丰富的安全专业人员执行，但几乎从不单独完成。在保护应用程序安全方面尤其如此。程序是复杂的系统，负责处理大量数据并处理来自用户和其他系统的各种命令。

威胁建模的关键之一是提出正确的问题：

• 我们正在做什么？
• 哪些事情可能会出错？
• 我们正在做什么呢？
• 我们解决了所有问题了吗？
• 我们做得好吗？

学习如何使用数据流图和攻击树之类的工具需要时间和练习。然而，任何人都可以学习成为一名高效的威胁建模师。无论你的经验水平如何，参与这些练习的第一步都是提出正确的问题。