常见威胁建模框架分析与比较

最新推荐文章于 2024-08-14 10:17:44 发布

无穷之路

最新推荐文章于 2024-08-14 10:17:44 发布

阅读量4.8k

点赞数 3

分类专栏：安全文章标签：安全系统安全威胁分析

本文链接： https://blog.csdn.net/qq_35388992/article/details/125230932

版权

1 概述

威胁建模的方法最初是为了帮助开发更多的安全的操作系统，但已经开发的大量威胁建模方法，有些只关注软件发展，有些仅涵盖业务或组织的风险和威胁，另有一些可能是技术性的，不同的威胁模型都在基于不同的目的而开发和使用的。

美国国土安全部（DHS）的下一代网络基础设施（NGCI）Apex计划将使用威胁建模和网络攻防演练的方式来为风险指标的开发、技术的评估和探寻，以及为如何降低风险提供信息。DHS评估了现有的框架无法满足其NGCI Apex计划的需求，促使其开发一个威胁建模框架。

1.1 威胁模型相关概念

不同场景下对威胁的定义有些不同：比如威胁是可能通过未经授权的披露、滥用、更改或破坏信息或信息系统而对信息或信息系统的机密性、完整性或可用性造成损害的事件。（联邦金融考试委员会）任何可能通过未经授权的访问、破坏、披露或修改信息和/或拒绝服务。（NIST）。威胁事件：有可能导致不良后果或影响的事件或情况。

NIST SP800-30R1中识别四种类型的威胁源：对抗性、意外、结构和环境。对抗性威胁有两个主要方面：

• 特征（例如能力、意图和目标 [NIST 2012]）

• 行为通常称为恶意网络活动，该行为可以用TTP来描述：

– “战术是对行为的高级描述，技术是在战术背景下对行为的详细描述，而程序则是在技术背景下的更低层次、更详细的描述。TTP描述攻击者使用特定恶意软件变种、操作顺序、攻击工具、传递机制（例如，网络钓鱼或水坑攻击）或漏洞利用的倾向。”[NIST 2016c]

– 行为或行动可以根据威胁向量（或攻击向量）来表征，攻击向量或攻击路径是达到网络威胁攻击效果的一般方法，可以包括网络的、物理或动力学、社会工程和供应链攻击。攻击向量受攻击发生的环境影响，通常在事件处理或漏洞修复中被枚举。

威胁场景通常指的是一组离散的威胁事件，与特定威胁源或多个威胁源相关联。用来描述事件是如何由威胁源引起的，或导致损害的。威胁场景的开发在分析上很有用，因为某些漏洞可能不会被利用。并分析说明一组漏洞如何综合起来，可能被一个或多个威胁事件利用。此外，威胁场景讲述了一个故事，用于风险沟通和分析。

2 威胁建模的使用

网络威胁建模是在网络空间中开发和应用对抗性威胁（来源、场景和特定事件）表示的过程。对抗性威胁可能针对或影响设备、应用程序、系统、网络、任务或业务功能（以及支持该任务或业务功能的系统系统）、组织、区域或关键基础设施部门。网络威胁建模过程可以通过多种方式为网络安全和弹性相关的工作提供相关信息，可用作风险管理的一部分，也可用作网络攻防演练、技术分析和探寻、系统安全工程、安全运营和分析等环节。被认定为与NGCI Apex程序是相关的有三个：风险管理和度量的输入；网络战中威胁场景的构建；技术的探寻。