威胁建模是识别和共享可能影响给定网络或系统的网络安全威胁信息的过程。对安全威胁进行建模有助于 IT 团队了解其性质以及对组织的潜在影响。它还有助于分析威胁，以确定其对组织应用程序的风险。 

除了保护应用程序和网络之外，威胁建模还可以帮助保护部署在企业网络外部的关键业务流程和资产，例如云系统或物联网 (IoT) 设备。威胁建模的多功能性为组织提供了网络安全武器库，以保护自己免受各种攻击媒介的侵害。

威胁建模过程取决于所调查的系统。大多数依赖 IT 的业务流程都能以某种方式受益。威胁建模允许安全分析师缩小特定系统的威胁范围。它消除了对存在哪些威胁以及如何减轻威胁的困惑。它还为 IT 团队提供了在损坏发生之前保护系统所需的见解。

这是有关应用程序安全性的系列文章的一部分。

在本文中：

• 威胁建模过程
• 威胁建模框架和方法
  • MITRE ATT&CK 框架
  • OWASP 前 10 名
  • 跨步
  • 恐惧
  • 意大利面
  • 三轮车
  • 广阔的
  • 八度
  • 美国国家标准技术研究院
• 什么是威胁建模工具？4 项关键能力
• 威胁情报
• 仪表板
• 策略引擎
• 文档

威胁建模过程

威胁建模涉及识别可能渗透或损坏计算机系统和应用程序的威胁向量和参与者。威胁建模者采用黑客的视角来评估他们可能造成的损害。他们彻底分析软件架构和业务上下文，以深入了解系统。 

组织通常在设计应用程序时执行威胁建模，但它在开发流程的其他阶段也很有用。大多数威胁建模技术都包含以下关键步骤： 

• 创建一个威胁建模团队——包括架构师、开发人员、安全专家和其他利益相关者（团队越多样化，威胁模型越全面）。
• 定义威胁建模范围——确定威胁模型涵盖的范围。团队应清点并映射所有相关数据和组件。 
• 确定漏洞利用的可能性——此练习探索威胁场景，以确定威胁存在的位置以及最有可能受到损害的位置。 
• 对威胁进行排名——评估每个威胁的风险级别并确定缓解的优先级。
• 实施缓解措施——决定如何应对威胁（即根除、最小化或接受）。
• 记录结果——记录威胁模型的发现，为未来的安全决策提供信息。

威胁建模框架和方法

威胁建模旨在识别系统的潜在威胁和攻击向量——该信息允许团队分析和确定减轻风险的措施。威胁建模框架可以构建此流程并提高组织识别威胁的能力。

MITRE ATT&CK 框架

联邦政府资助的研发小组 MITRE 维护 MITRE ATT&CK 网络安全框架（以及相关的 Shield 框架）。该框架通过帮助团队构建渗透测试和威胁建模等安全实践来支持网络安全。 

MITRE ATT&CK 将网络攻击生命周期分为 14 个阶段，称为战术阶段。每个策略都涵盖整个攻击中的一个特定子目标，例如帐户泄露和权限升级。

MITRE ATT&CK 并不是所有潜在攻击技术的详尽列表，但它涵盖了令人印象深刻的威胁范围，并提供了识别漏洞的明确标准。

OWASP 前 10 名

开放 Web 应用程序安全项目维护着 OWASP Top 10，重点关注 Web 应用程序中的常见漏洞。该组织定期更新列表以反映最相关的漏洞和不安全做法。 

OWASP Top 10 列表为 Web 应用程序开发团队进行威胁建模练习提供了有用的参考。网络犯罪分子还使用该列表作为识别简单目标的起点。

虽然 OWASP 专注于 Web 应用程序漏洞，但它也与开发其他软件（如区块链应用程序）相关。

跨步

STRIDE 是一个 Microsoft 框架，专注于各种威胁的影响，包括欺骗、篡改、否认、数据泄露、权限升级和拒绝服务。它可以帮助临时工识别潜在的攻击媒介，评估其影响和风险，并制定缓解措施。

恐惧

DREAD 是 STRIDE 的附加组件，可帮助威胁建模者在识别威胁后对威胁进行排名。DREAD 是理解威胁的注意事项的缩写：  

• 损害 
• 再现性
• 可利用性
• 受影响的用户
• 可发现性

每个标准都会获得从一到三的分数。

意大利面

攻击模拟和威胁分析流程 (PASTA) 描述了将网络安全策略与业务目标相匹配的七个步骤。这些步骤很复杂并且包含子步骤

• 定义目标
• 定义范围
• 分解应用程序
• 分析威胁
• 分析漏洞
• 建模攻击
• 分析风险和影响

三轮车

Trike 是一个开源威胁建模和风险评估工具和框架。它通过对受保护系统进行建模并确定谁可以读取、创建、编辑或删除每个实体，从防御角度识别威胁。它重点关注两种威胁类型：权限升级和拒绝服务。

广阔的

可视化、敏捷、简单的威胁建模 (VAST) 是自动化 ThreatModeler 平台的底层框架。它集成到 DevOps 工作流程中，专注于自动化和协作，以支持可扩展的威胁建模解决方案。

八度

运营关键威胁、资产和漏洞评估 (OCTAVE) 方法侧重于组织风险（而不是技术漏洞）。它涉及构建威胁概况、识别基础设施弱点以及制定安全措施。

美国国家标准技术研究院

美国国家标准与技术研究所提供了一种专注于数据安全的威胁建模方法。它包括以下步骤：

• 识别感兴趣的数据资产。
• 识别攻击向量。
• 描述安全控制的特征以减轻威胁。
• 分析模型。

什么是威胁建模工具？4 项关键能力

威胁建模工具可帮助安全团队主动发现并解决设备、软件和数据中的潜在安全问题。威胁建模过程通常从开发管道的设计阶段开始，并持续保持安全更新。

组织在选择威胁建模解决方案时应考虑以下因素。

1. 威胁情报

威胁情报包含从多个公共威胁存储库（例如 MITRE CAPEC）收集的可操作信息。该工具的供应商还可能收集专有数据。威胁情报数据库应基于来自野外的数据尽可能多地涵盖系统的潜在威胁。该情报补充了组织的信息，以促进漏洞评估和威胁预测。

2. 仪表板

威胁仪表板是威胁情报功能收集的数据的直观表示。它有助于主动修复——仪表板越全面，组织解决漏洞的决策能力就越好。 

强大的威胁仪表板可让分析师了解每种风险的严重性。安全团队可以缩小焦点以调查特定模块或用户流，从而提供系统当前状态的更详细视图。

3. 策略引擎

策略引擎是聚合和执行组织设置的所有策略和规则的系统。它可以使用自定义策略或纳入既定法规和行业标准（例如 GDPR 和 PCI DSS）。此功能对于任何威胁建模工具都至关重要，因为它有助于确保法规遵从性。

4. 文档

报告和文档是威胁建模的关键目标，允许所有利益相关者查看调查结果。威胁建模工具应该能够轻松生成有关威胁建模工作的报告。

这些报告包括每种威胁的当前状态、响应技术变化的模型变化以及其他因素。它们对于改进现有安全策略并允许组织定期更新其安全配置文件非常重要。强大的威胁模型不断发展，报告对于这种发展至关重要。