威胁模型是什么,常用的威胁模型有哪些?
设计安全架构时,第一步是定义威胁模型。威胁模型列举了潜在的攻击者及其能力、资源和想要攻击的目标,它通常指出了哪些攻击者在考虑范围内,以便合理地选择缓解攻击的措施,即先应对能力较弱的攻击者,再应对更为棘手的攻击者。
明确的威胁模型是很有用的工具,有助于确定缓解攻击工作的重点。与完成大多数工程任务一样,搭建安全系统时,往往也倾向于将重点放在易被迷惑的方面,而忽略了虽然枯燥无味却很重要的方面。对搭建安全系统来说,这种倾向尤其令人担忧,因为攻击者很快就会重点攻击这种系统中最薄弱的环节。因此,威胁模型提供了相关的机制,让我们能够关注具体的威胁,并全面缓解相关的攻击。
威胁模型还有助于确定安全动机的轻重缓急。如果系统的安全措施连对付简单的用户密码暴力破解攻击都无能为力,那么考虑如何防范国家层面的攻击者就毫无意义。因此,在构建威胁模型时,先要考虑的是能力较低的攻击者,这一点非常重要。
不同的威胁建模方法提供了不同的威胁空间探索框架,但目标是一致的,列举系统面临的威胁以及用于缓解这些威胁的系统和流程。
不同的威胁模型从不同的角度处理问题:
这些方法都有其优缺点,为制定多样化的缓解策略,理想的做法是结合使用这 3 种方法。
如果审视基于攻击者的建模方法,可将攻击者分成如下几类。注意,这里按能力(威胁程度)从低到高排列:
按这种方式对威胁进行分类,有助于就如何缓解特定等级的威胁展开讨论。
互联网环境下的威胁模型很容易理解。通常情况下,假设参与协议交互的端点系统本身未被攻陷。在其中一个端点系统已被攻陷的情况下,要防范攻击将极其困难,但可设计相关的协议,以最大限度地降低在这种情况下遭受的破坏程度。
相反,对于终端系统使用的通信信道,我们假定它们几乎被攻击者完全控制。这意味着攻击者能够读取网络上的任何协议数据单元(Protocol Data Unit,PDU),还能够在不被发现的情况下删除和篡改数据包,以及在线路上伪造数据包(包括生成看起来像是来自可信计算机的数据包)。因此,即便你要与之通信的端点系统本身是安全的,互联网环境也无法保证那些宣称来自该端点系统的数据包确实来自该端点系统。
零信任模型需要控制网络中的端点,因此它扩展了互联网威胁模型,假定端点本身可能已被攻陷。
面对可能被攻陷端点的威胁,通常的应对策略是未雨绸缪地加固端点系统,再检测威胁,这包括设备扫描以及对设备活动进行行为分析。另外,为防范端点受到威胁,还需定期升级端点设备上安装的软件、定期自动轮换凭证,在有些情况下,还需定期轮换端点设备本身。
基本上无法抵御拥有无限资源的攻击者,零信任网络考虑到了这一点,因此其目标不是抵御所有的攻击者,而是抵御常见的攻击者。
基于前面对攻击者能力的讨论,零信任网络的目标通常是缓解来自如下范围的攻击者的攻击:从撞大运型攻击者到受信任的内部人员。大多数组织遭受的攻击不会超出上述范围,因此只需制定针对这些攻击者的缓解措施,就可防范大部分威胁,极大地改善组织的安全态势。
零信任网络通常不会力图去防范所有有国家背景的攻击者,但确实会力图去防范对系统发起的远程攻击。有国家背景的攻击者资金充沛,因此对于他们发起的很多攻击,资金有限的组织根本无法抵御。另外,当地政府能够合法地访问众多系统,而这些系统正是组织确保其网络安全的根基。
要抵御这些不那么常见的威胁,需要付出极其高昂的代价——必须使用专用的物理硬件,因此大多数零信任网络没有在其威胁模型中涵盖极端的攻击方式,如将漏洞注入虚拟机监视器,以复制虚拟机的内存页面。虽然零信任模型依然提倡遵循最佳安全实践,但只要求确保用于认证和授权的信息(如磁盘上的凭证)的安全性。至于对端点设备的其他要求,如全磁盘加密,可使用其他的策略来实现。
明确的威胁模型是很有用的工具,有助于确定缓解攻击工作的重点。与完成大多数工程任务一样,搭建安全系统时,往往也倾向于将重点放在易被迷惑的方面,而忽略了虽然枯燥无味却很重要的方面。对搭建安全系统来说,这种倾向尤其令人担忧,因为攻击者很快就会重点攻击这种系统中最薄弱的环节。因此,威胁模型提供了相关的机制,让我们能够关注具体的威胁,并全面缓解相关的攻击。
威胁模型还有助于确定安全动机的轻重缓急。如果系统的安全措施连对付简单的用户密码暴力破解攻击都无能为力,那么考虑如何防范国家层面的攻击者就毫无意义。因此,在构建威胁模型时,先要考虑的是能力较低的攻击者,这一点非常重要。
常用的威胁模型
在网络安全领域,有很多威胁建模方法,下面是常用的 6 种方法:- STRIDE;
- DREAD;
- PASTA;
- Trike;
- VAST;
- MITRE ATT&CK。
不同的威胁建模方法提供了不同的威胁空间探索框架,但目标是一致的,列举系统面临的威胁以及用于缓解这些威胁的系统和流程。
不同的威胁模型从不同的角度处理问题:
- 有的建模系统专注于被攻击者视为目标的资产;
- 有的分别审视每个软件组件,并列举可能对其发起的所有攻击;
- 还有的从攻击者的角度审视整个系统,分析攻击者将如何渗透它。
这些方法都有其优缺点,为制定多样化的缓解策略,理想的做法是结合使用这 3 种方法。
如果审视基于攻击者的建模方法,可将攻击者分成如下几类。注意,这里按能力(威胁程度)从低到高排列:
- 撞大运型攻击者:这种攻击者又被称为脚本小子,他们不是高明的攻击者,只是利用众所周知的漏洞发起漫无目的的攻击;
- 目标明确的攻击者:针对特定的目标发起有针对性的攻击,鱼叉式网络钓鱼和商业间谍活动都属于这种类型;
- 内部威胁:拥有凭证的系统日常用户,如外包人员和无特权企业员工;
- 受信任的内部人员:得到高度信任的系统管理员;
- 国家层面的攻击者:有外国或本国政府背景的攻击者,有大量资源和高超的能力可供用来对目标发起攻击。
按这种方式对威胁进行分类,有助于就如何缓解特定等级的威胁展开讨论。
零信任威胁模型
RFC 3552 描述了互联网威胁模型,而零信任网络通常按照这个模型描述安全态势。建议完整地阅读该RFC,下面摘录了其中的一些内容。互联网环境下的威胁模型很容易理解。通常情况下,假设参与协议交互的端点系统本身未被攻陷。在其中一个端点系统已被攻陷的情况下,要防范攻击将极其困难,但可设计相关的协议,以最大限度地降低在这种情况下遭受的破坏程度。
相反,对于终端系统使用的通信信道,我们假定它们几乎被攻击者完全控制。这意味着攻击者能够读取网络上的任何协议数据单元(Protocol Data Unit,PDU),还能够在不被发现的情况下删除和篡改数据包,以及在线路上伪造数据包(包括生成看起来像是来自可信计算机的数据包)。因此,即便你要与之通信的端点系统本身是安全的,互联网环境也无法保证那些宣称来自该端点系统的数据包确实来自该端点系统。
零信任模型需要控制网络中的端点,因此它扩展了互联网威胁模型,假定端点本身可能已被攻陷。
面对可能被攻陷端点的威胁,通常的应对策略是未雨绸缪地加固端点系统,再检测威胁,这包括设备扫描以及对设备活动进行行为分析。另外,为防范端点受到威胁,还需定期升级端点设备上安装的软件、定期自动轮换凭证,在有些情况下,还需定期轮换端点设备本身。
基本上无法抵御拥有无限资源的攻击者,零信任网络考虑到了这一点,因此其目标不是抵御所有的攻击者,而是抵御常见的攻击者。
基于前面对攻击者能力的讨论,零信任网络的目标通常是缓解来自如下范围的攻击者的攻击:从撞大运型攻击者到受信任的内部人员。大多数组织遭受的攻击不会超出上述范围,因此只需制定针对这些攻击者的缓解措施,就可防范大部分威胁,极大地改善组织的安全态势。
零信任网络通常不会力图去防范所有有国家背景的攻击者,但确实会力图去防范对系统发起的远程攻击。有国家背景的攻击者资金充沛,因此对于他们发起的很多攻击,资金有限的组织根本无法抵御。另外,当地政府能够合法地访问众多系统,而这些系统正是组织确保其网络安全的根基。
要抵御这些不那么常见的威胁,需要付出极其高昂的代价——必须使用专用的物理硬件,因此大多数零信任网络没有在其威胁模型中涵盖极端的攻击方式,如将漏洞注入虚拟机监视器,以复制虚拟机的内存页面。虽然零信任模型依然提倡遵循最佳安全实践,但只要求确保用于认证和授权的信息(如磁盘上的凭证)的安全性。至于对端点设备的其他要求,如全磁盘加密,可使用其他的策略来实现。
ICP备案:
公安联网备案: