威脅建模的各種結構化方法通常稱為框架或方法論(本文中這兩個術語基本上可以互換使用)。目前的威脅建?？蚣芎头椒ㄓ泻芏啵覀兲魩讉€最流行的介紹如下：

1. 7種頂級威脅建模方法

• STRIDE
• DREAD
• PASTA
• VAST
• Trike
• OCTAVE
• NIST

2. STRIDE威脅建模

如上所述，STRIDE是威脅建模的祖父，最早于90年代末在Microsoft開發(fā)。STRIDE代表六種威脅，每種都對CIA三要素構成威脅，具體如下：

• 欺騙或冒充他人或計算機，影響真實性
• 篡改數(shù)據(jù)，這會破壞完整性
• 抵賴，或無法將執(zhí)行的操作關聯(lián)到操作者，這違反了不可抵賴性
• 信息泄露，違反機密性
• 拒絕服務，這違反了可用性
• 特權提升，違反授權

3. DREAD威脅建模

DREAD被認為是STRIDE模型的一個附加組件，該模型使建模人員可以在確定威脅后對其進行排名。對于每個潛在威脅，DREAD代表六個問題：

• 潛在損害：如果利用漏洞，造成的損害有多大?
• 重現(xiàn)性：重現(xiàn)攻擊有多容易?
• 可利用性：發(fā)動攻擊有多容易?
• 受影響的用戶：大概影響了多少用戶?
• 可發(fā)現(xiàn)性：查找漏洞有多容易?

這些問題中的每一個都得到1-3分的評分。

4. PASTA威脅建模

PASTA代表攻擊模擬和威脅分析過程，它是一個七步驟過程，致力于使技術安全要求與業(yè)務目標保持一致。每個步驟都非常復雜，由幾個子步驟組成，但是總體順序如下：

• 定義目標
• 定義技術范圍
• 應用程序分解
• 威脅分析
• 漏洞和弱點分析
• 攻擊建模
• 風險與影響分析

5. VAST威脅建模

VAST代表可視化，敏捷威脅建模。該模型是 ThreatModeler(自動威脅建模平臺)的基礎，該平臺可以區(qū)分應用程序和運營威脅模型。VAST專為集成到圍繞devops構建的工作流中而設計。

6. Trike威脅建模

Trike是用于威脅建模和風險評估的框架的開源工具，它基于防御的角度，而不是試圖模仿攻擊者的思維過程。使用Trike，您可以為要防御的系統(tǒng)建模，并通過CRUD的角度評估每個組件，也就是說，誰可以創(chuàng)建，讀取，更新或刪除該實體。通過遍歷數(shù)據(jù)流程圖來識別威脅，每種威脅僅分為兩類：拒絕服務或特權提升。

7. OCTAVE威脅建模

OCTAVE代表“運營關鍵威脅，資產(chǎn)和脆弱性評估”，是卡耐基梅隆大學開發(fā)的一種威脅建模方法，其重點是組織風險而不是技術風險。它包括三個階段：

• 建立基于資產(chǎn)的威脅配置文件
• 識別基礎架構漏洞
• 制定安全策略和計劃

8. NIST威脅建模

美國國家標準技術研究院擁有自己的以數(shù)據(jù)為中心的威脅建模方法，該方法包括四個步驟：

• 系統(tǒng)和數(shù)據(jù)識別和表征
• 識別并選擇要包含在模型中的攻擊媒介
• 表征緩解攻擊媒介的安全控件
• 分析威脅模型

該NIST草案還包括一個方法的具體應用實例。如果您正在尋找威脅建模示例，那么這是一個很棒的文檔，可以閱讀該文檔以了解流程如何工作。

威脅建模優(yōu)秀實踐

無論選擇哪種框架，都應遵循一些實踐方法。但最重要的(通常也是很難做到的)是將威脅建模作為系統(tǒng)開發(fā)過程中的優(yōu)先事項。如果能在項目開發(fā)伊始就做到這一點，以后可以省去很多麻煩，因為安全性可以被深深“植入”到應用程序或系統(tǒng)中。

另一個最佳實踐是不要將應用程序和系統(tǒng)彼此隔離。Michael Santarcangelo寫道：“如果各種威脅模型以相同的方式相互連接，并且應用程序和組件作為IT系統(tǒng)的一部分進行交互，那么結果將是一個全面的攻擊面，CISO可以使用該攻擊面來理解整個企業(yè)的整體威脅組合。”

我們還敦促您避免常見的威脅建模錯誤。簡而言之：不要過于關注頭條新聞上的威脅;不要忘記您的用戶可能是所有人中最大的無意威脅;不要忘記威脅模型應該是“活著”的文檔，并且需要不斷更新。

威脅建模工具

需要指出的是，上面列出的兩種方法(VAST和Trike)實際上是圍繞特定的軟件工具構建的。還有一些支持其他方法的工具，例如，Microsoft提供了免費的威脅建模工具，而OWASP Foundation也推出了自己的桌面和web版本的威脅建模工具——Threat Dragon³。

實際上，這里描述的許多方法都是概念性的，并未與任何軟件聯(lián)系在一起。攻擊樹或數(shù)據(jù)流程圖可以用筆和紙繪制。正如Luca Bongiorni的演講所解釋的那樣，用于威脅建模的一些最受歡迎的工具是Microsoft Visio和Excel。開始為基礎架構進行威脅建模的門檻很低，但回報卻很高。

參考資料：

• 最早的威脅建模論文：https://www.microsoft.com/security/blog/2009/08/27/the-threats-to-our-products/
• Uncover Security Design Flaws Using The STRIDE Approach：https://docs.microsoft.com/en-us/archive/msdn-magazine/2006/november/uncover-security-design-flaws-using-the-stride-approach
• OWASP威脅建模工具Threat Dragon：https://owasp.org/www-project-threat-dragon/

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文