威胁建模与安全架构设计
威胁建模是在系统设计阶段主动识别潜在安全威胁的结构化方法。通过系统化的威胁分析,帮助组织在安全事件发生之前预见并消除风险,实现安全左移。
威胁建模方法论
STRIDE模型
STRIDE是微软提出的威胁分类模型,将威胁分为六类:身份欺骗(Spoofing)、数据篡改(Tampering)、否认(Repudiation)、信息泄露(Information Disclosure)、拒绝服务(Denial of Service)、权限提升(Elevation of Privilege)。通过对系统中每个组件和数据流应用STRIDE分析,可以系统性地识别潜在威胁。
DREAD风险评估
DREAD模型用于对识别出的威胁进行风险评分,评估维度包括:破坏潜力(Damage)、可重现性(Reproducibility)、可利用性(Exploitability)、受影响用户(Affected Users)、可发现性(Discoverability)。每个维度评分1-10分,总分用于确定威胁的优先级。
攻击树分析
攻击树是一种自顶向下的威胁分析方法,将攻击目标作为根节点,逐层分解为实现该目标所需的子步骤。通过构建攻击树,可以全面了解达成特定攻击目标的所有可能路径,并针对性地设计防御措施。
| 方法论 | 适用场景 | 优势 | 局限性 |
|---|---|---|---|
| STRIDE | 系统设计阶段 | 分类清晰、易于理解 | 可能遗漏业务逻辑威胁 |
| DREAD | 风险优先级排序 | 量化评估、便于决策 | 主观性较强 |
| 攻击树 | 特定目标分析 | 路径全面、直观可视 | 构建复杂度高 |
| PASTA | 风险驱动的建模 | 业务导向、全面 | 实施周期长 |
安全架构设计原则
- 纵深防御:部署多层安全控制,确保单点失效不会导致整体沦陷
- 最小权限:每个组件仅授予完成其功能所需的最小权限
- 零信任:不信任任何内部或外部的网络流量,始终验证
- 安全默认:系统默认配置应为最安全状态
- 失败安全:系统故障时应进入安全状态而非开放状态
- 职责分离:关键操作需要多人协作完成
常见问题
威胁建模应该在什么阶段进行?
威胁建模最好在系统设计阶段进行(安全左移),但也可以对已有系统进行回顾性威胁建模。建议在系统架构发生重大变更时重新进行威胁建模。
小团队如何高效进行威胁建模?
小团队可以采用轻量级的威胁建模方法,如使用STRIDE-per-Element方法对关键组件进行快速分析,或使用威胁建模卡牌游戏(如Elevation of Privilege)进行团队协作式建模。