威脅建模用來分析系統(tǒng)可能存在的風(fēng)險，通?？梢詮娜齻€維度來建立模型：以資產(chǎn)為核心、以攻擊者為核心、以軟件系統(tǒng)為核心。

一、什么是威脅建模

所謂威脅，通常是指系統(tǒng)的安全漏洞，可能存在于系統(tǒng)的具體實(shí)現(xiàn)上，也可能存在于系統(tǒng)的安全策略配置上。安全漏洞往往給攻擊者提供了非授權(quán)的訪問和攻擊系統(tǒng)的入口點(diǎn)，達(dá)成控制或者破壞系統(tǒng)的目的。

業(yè)務(wù)風(fēng)險也是一種典型的威脅，如航旅業(yè)務(wù)往往面臨機(jī)票爬取、惡意占座等業(yè)務(wù)風(fēng)險，如不能對業(yè)務(wù)風(fēng)險進(jìn)行有效控制，會影響業(yè)務(wù)正常開展，增加經(jīng)營成本。

威脅建模是使用抽象的概念來分析系統(tǒng)可能存在的風(fēng)險。如在業(yè)務(wù)安全這個維度，通過定位攻擊目標(biāo)和可利用的業(yè)務(wù)安全漏洞來提高系統(tǒng)安全性，然后定義防范或減輕系統(tǒng)業(yè)務(wù)風(fēng)險的對策的過程。

從某種意義上來說，在日常生活中，我們潛意識中也在不停的實(shí)踐著威脅建模。我們會關(guān)注每天的天氣和氣溫變化，如果氣溫驟降，就會做出添衣的決策，如果第二天下雨的概率很大，就會做出帶把傘出門的決策，從而達(dá)到降低患上感冒的可能性。

二、為什么要做威脅建模

1. 完善軟件系統(tǒng)功能設(shè)計中的安全設(shè)計部分

絕大部分的開發(fā)團(tuán)隊都使用系統(tǒng)需求分析文檔、軟件系統(tǒng)設(shè)計文檔以及功能模塊詳細(xì)設(shè)計文檔來規(guī)范系統(tǒng)的開發(fā)和測試過程；整個開發(fā)周期中，只在測試階段引入滲透測試或者安全代碼審計來提高交付的系統(tǒng)的安全性。但是，因?yàn)樵O(shè)計階段就缺少安全部分的分析設(shè)計工作，往往導(dǎo)致滲透測試和安全代碼審計工作事倍功半，收效甚微。測試人員無法根據(jù)缺乏安全設(shè)計的設(shè)計文檔來估算安全測試用例的覆蓋度；研發(fā)人員也無法針對發(fā)現(xiàn)的威脅快速并高效的提供解決威脅的開發(fā)修復(fù)途徑和安全產(chǎn)品采購需求。

2. 系統(tǒng)化和量化威脅分析和解決過程

安全代碼審計和滲透測試是兩種最為常見的發(fā)現(xiàn)威脅以提高系統(tǒng)安全性的方式。但是這兩種方式都具備類似的缺點(diǎn)：很難系統(tǒng)化和量化系統(tǒng)的安全性。威脅模型更關(guān)注哪些方面可能出現(xiàn)安全問題，通過建模的方式將威脅抽象化和結(jié)構(gòu)化，以圖表幫助確定威脅的范圍，并利用表格和列表的方式來追蹤和更新威脅，實(shí)現(xiàn)在開發(fā)過程或者運(yùn)維過程中識別和管理威脅。

3. 提供安全測試的設(shè)計和執(zhí)行的指導(dǎo)

我們使用軟件測試來對軟件產(chǎn)品和階段性的開發(fā)結(jié)果來進(jìn)行質(zhì)量檢驗(yàn)，力求發(fā)現(xiàn)其中的各種缺陷，并督促缺陷得到修復(fù)，從而控制軟件產(chǎn)品的質(zhì)量。作為軟件測試中的一個環(huán)節(jié)，安全測試的關(guān)注點(diǎn)是安全缺陷，保障的是軟件產(chǎn)品的安全性質(zhì)量。

軟件測試可以使用軟件的需求分析和定義、軟件系統(tǒng)設(shè)計、模塊詳細(xì)功能設(shè)計甚至具體編碼實(shí)現(xiàn)來指導(dǎo)測試的設(shè)計和執(zhí)行。同樣，通過威脅建模，可以在安全測試的設(shè)計和執(zhí)行中獲得以下指導(dǎo)：軟件系統(tǒng)可能會面臨哪些方面的安全威脅；系統(tǒng)正在遭遇哪些方面的威脅；以及系統(tǒng)現(xiàn)狀能夠抵御哪些方面的威脅。

4. 提供安全缺陷修復(fù)驗(yàn)證的指導(dǎo)

威脅建模是為了交付安全性更高的軟件、服務(wù)或者技術(shù)。因此，在找到和定位威脅之后，如何處理和管理威脅也是威脅建模不可或缺的一個部分。威脅建模能夠權(quán)衡解決威脅的策略，并指導(dǎo)系統(tǒng)的開發(fā)者使用哪些技術(shù)和系統(tǒng)配置方式來處理發(fā)現(xiàn)的各類威脅。與功能測試報告相似，表格和列表也可以應(yīng)用于整體威脅建模漏洞的跟蹤。

三、如何做威脅建模

下圖是微軟通過實(shí)踐過程提出的威脅建模的過程。首先需要預(yù)設(shè)場景，在場景中，我們需要考慮具體的業(yè)務(wù)特征、真實(shí)用例以及場景中所用的產(chǎn)品；圖表化能夠幫助我們理解業(yè)務(wù)場景和系統(tǒng)，以及定位威脅的攻擊面；然后我們需要借助特定的模型和方法來發(fā)現(xiàn)威脅并對發(fā)現(xiàn)的威脅進(jìn)行評級；在處理威脅階段，我們優(yōu)先處理攻擊難度低并且危害程度的威脅；最后，驗(yàn)證階段，需要測試是否已經(jīng)對相關(guān)威脅進(jìn)行有效的處理，達(dá)到威脅建模的結(jié)果收斂，系統(tǒng)的安全性有效提高。

從安全角度理解正在構(gòu)建的系統(tǒng)

威脅建模通常從三個維度來建立模型：以資產(chǎn)為核心、以攻擊者為核心、以軟件系統(tǒng)為核心。在實(shí)踐中使用哪種建模方式往往根據(jù)系統(tǒng)構(gòu)建者的關(guān)注點(diǎn)來決定的。

風(fēng)控或者業(yè)務(wù)部門關(guān)注的可能更多的是資產(chǎn)或者有價值的東西；安全部門關(guān)注的更多的是攻擊者，通過利用攻擊庫列表來尋找系統(tǒng)威脅；研發(fā)部門關(guān)注的更多的是正在構(gòu)建的軟件或者部署的系統(tǒng)，將威脅模型作為常用的軟件開發(fā)模型的補(bǔ)充，來提高軟件系統(tǒng)的安全性。

圖表是幫助我們理解系統(tǒng)的最為趁手的武器。我們通常使用數(shù)據(jù)流圖（data flow diagram）、統(tǒng)一建模語言UML、狀態(tài)圖來理解正在構(gòu)建的系統(tǒng)。

而當(dāng)我們在進(jìn)行威脅建模的時候，我們會將圖表應(yīng)用于以下三個步驟來理解系統(tǒng)：

1. 確認(rèn)系統(tǒng)數(shù)據(jù)流模型；
2. 確認(rèn)信任邊界；
3. 確認(rèn)攻擊面。

數(shù)據(jù)流模型是進(jìn)行威脅建模的最佳模型，這是因?yàn)榘踩珕栴}往往是在數(shù)據(jù)流中出現(xiàn)，而不是在控制流中。進(jìn)程、數(shù)據(jù)流、數(shù)據(jù)存儲和外部實(shí)體是數(shù)據(jù)流圖的四個基本要素。下圖顯示的是一個典型的數(shù)據(jù)流圖模型。

進(jìn)程：運(yùn)行中的代碼，如服務(wù)、組件；用圓角矩陣或圓形圖形表示。

數(shù)據(jù)流：外部實(shí)體與進(jìn)程、進(jìn)程與進(jìn)程或者進(jìn)程與數(shù)據(jù)存儲之間的交互；用箭頭表示。

數(shù)據(jù)存儲：存儲數(shù)據(jù)的內(nèi)部實(shí)體，如數(shù)據(jù)庫、消息隊列、文件等；用中間帶標(biāo)簽的兩條平行線表示。

外部實(shí)體：系統(tǒng)控制范圍之外的用戶、軟件系統(tǒng)或者設(shè)備；用直角矩陣表示。

航旅系統(tǒng)某應(yīng)用場景數(shù)據(jù)流圖

在數(shù)據(jù)流圖確認(rèn)后，我們需要引入信任邊界對數(shù)據(jù)流圖進(jìn)行改進(jìn)。信任邊界是不同主體匯聚的位置，即實(shí)體與其他不同權(quán)限實(shí)體之間交互的位置。信任邊界是識別威脅的最佳位置，因?yàn)榇蟛糠值耐{往往具備跨越邊界的行為，劃分信任邊界的數(shù)據(jù)流是需要進(jìn)行威脅分析的元素實(shí)例。

對某應(yīng)用場景的數(shù)據(jù)流圖引入信任邊界

在確認(rèn)數(shù)據(jù)流圖的信任邊界后，我們可以很容易就得到當(dāng)前場景暴露的攻擊面。攻擊面往往就是一個信任邊界，使攻擊者可以發(fā)動攻擊的地方。

1. 找出系統(tǒng)中可能會出現(xiàn)的威脅

借助業(yè)務(wù)場景數(shù)據(jù)流圖和信任邊界的劃分，我們已經(jīng)對威脅最容易發(fā)生在那些地方有了一定的概念，接下去我們需要做的是找出這些威脅點(diǎn)可能會出現(xiàn)哪些具體的威脅。

STRIDE方法是由微軟開發(fā)和推廣的用于威脅建模的工具，該方法將威脅分為6個維度來進(jìn)行評估，幾乎能夠覆蓋目前的絕大部分安全問題。STRIDE是六個單詞的縮寫，分別為：

Spoofing：假冒，偽裝，冒充他人身份；

Tampering：篡改，非法修改數(shù)據(jù)或者代碼內(nèi)容；

Repudiation：否認(rèn)，否認(rèn)自己的行為，宣稱自己沒有做過某事；

Information Disclosure：信息泄露，獲取到自身權(quán)限本不能獲取的信息；

Denial of Service：拒絕服務(wù)攻擊，消耗系統(tǒng)資源，影響系統(tǒng)的可用性；

Elevation of Privilege：提權(quán)，獲取到更高的系統(tǒng)權(quán)限；

結(jié)合數(shù)據(jù)流圖的基本元素，使用STRIDE方法作為威脅維度來對各基本元素進(jìn)行威脅分析，可以得出以下表格：

表格所描述的是作為基本元素會面臨哪些維度的威脅。比如外部實(shí)體可以被偽造，并否認(rèn)自己發(fā)起的行為。數(shù)據(jù)存儲幾乎不會被偽造，但是往往面臨數(shù)據(jù)被篡改，機(jī)密數(shù)據(jù)泄露以及被拒絕服務(wù)攻擊使不能服務(wù)的威脅，同時，數(shù)據(jù)存儲是否會面臨否認(rèn)的威脅需要根據(jù)數(shù)據(jù)存儲的用途，當(dāng)數(shù)據(jù)存儲用于審計的場景下，可能會面臨偽造的威脅。

接下去我們可以使用該表格對具體業(yè)務(wù)場景進(jìn)行業(yè)務(wù)風(fēng)險分析，如對本文上述航旅某業(yè)務(wù)場景中的各個要素進(jìn)行潛在威脅定位，可以得出以下表格：

在使用STRIDE方法分析完特定業(yè)務(wù)場景下數(shù)據(jù)流圖中的所有元素示例的潛在威脅以后，我們已經(jīng)得到一個抽象的威脅定位圖表。接下去我們需要根據(jù)攻擊庫來進(jìn)行威脅枚舉，對各個潛在威脅構(gòu)建威脅描述和攻擊方法，并輸出一個威脅列表，對每一個威脅項(xiàng)進(jìn)行描述。

頂象技術(shù)在航旅、電商等現(xiàn)實(shí)業(yè)務(wù)攻防中積累下來的數(shù)據(jù)和經(jīng)驗(yàn)，累積了豐富的業(yè)務(wù)風(fēng)險攻擊庫和相應(yīng)的防護(hù)方法，以威脅編號T1和T4舉例輸出威脅項(xiàng)描述如下所示：

2. 對可能會出現(xiàn)的威脅評級并處理

使用STRIDE方法對業(yè)務(wù)場景的數(shù)據(jù)流圖分析完畢后，我們已經(jīng)獲取到當(dāng)前系統(tǒng)在該業(yè)務(wù)場景下所面臨的潛在威脅。接下去我們就需要一個個處理這些威脅。

在我們確認(rèn)威脅處理方法之前，我們不得不以 “妥協(xié)”的想法認(rèn)清一些現(xiàn)實(shí)：首先，有一些威脅是無法根除的，我們只能降低這些威脅發(fā)生的機(jī)會，或者提高威脅發(fā)生的門檻；其次，有一些威脅雖然存在，但是發(fā)生的概率很低，而且一旦發(fā)生，帶來的危害也很小。我們需要找到一些機(jī)制來判斷是否真的需要投入成本去修復(fù)這些漏洞。

正因?yàn)槿绱?，我們需要采用威脅評級的方式，對我們定位出的威脅項(xiàng)進(jìn)行評分，然后根據(jù)系統(tǒng)的實(shí)際情況和評分結(jié)果來權(quán)衡處理威脅的方式，是解決威脅還是緩解威脅或者接受威脅。

威脅評級有很多種方式，如DREAD與CVSS（Common Vulnerability Scoring System）方法。不同評級方法對威脅進(jìn)行評級的維度和風(fēng)險等級的計算方法會略有不同，但是總體來說，威脅的級別等于威脅發(fā)生的概率乘以威脅帶來的潛在損失。在實(shí)際事件中可以根據(jù)系統(tǒng)或者業(yè)務(wù)場景特征選擇合適的評級方法甚至對其進(jìn)行調(diào)整使其適應(yīng)實(shí)際情況。

DREAD風(fēng)險模型的計算方式：

威脅等級：[忽略(0),嚴(yán)重(10)]=（危害性[0,4]+復(fù)現(xiàn)難度[0,4]+利用難度[0,4]+受影響用戶[0,4]+發(fā)現(xiàn)難度[0,4]）/2

以威脅編號T4舉例，其威脅等級計算過程如下：

• 危害性（Damage）：3分：泄露機(jī)密數(shù)據(jù)，或資金損失較大；
• 復(fù)現(xiàn)難度（Reproducibility)：1分：很難復(fù)現(xiàn)，復(fù)現(xiàn)成功率較低，需要多種因素限制并對技術(shù)有較高要求；
• 利用難度（Exploitability）：2分：熟練攻擊者可攻擊，需自定制腳本或高級攻擊工具；
• 受影響用戶（Affected Users）：1分：一般邊緣業(yè)務(wù)的少量用戶；
• 發(fā)現(xiàn)難度（Discoverability）：1分：發(fā)現(xiàn)漏洞很困難，可以通過猜測或者監(jiān)測網(wǎng)絡(luò)活動來發(fā)現(xiàn)；

因此威脅編號T4的威脅等級 = （3+1+2+1+1）/ 2 = 4，中危級別，威脅的處理方法為使用HTTPS協(xié)議代替HTTP協(xié)議進(jìn)行數(shù)據(jù)傳輸，或使用頂象技術(shù)設(shè)備指紋和風(fēng)控引擎產(chǎn)品，對用戶登陸事件獲取實(shí)時安全防護(hù)。

輸出威脅項(xiàng)中威脅級別和威脅處理方法如下所示：

類似過程可輸出威脅編號T1的威脅級別和威脅處理方法如下所示：

在對所有的潛在威脅實(shí)例進(jìn)行威脅評級和威脅處理方法舉例之后，我們可以根據(jù)系統(tǒng)的業(yè)務(wù)特征，選擇合適的方式來處理潛在威脅。

結(jié)語

威脅建模是一種方法論，也是一種分析模型，它并不是針對風(fēng)險的解決方案。但是通過對軟件或系統(tǒng)的威脅建模，可以幫助系統(tǒng)的構(gòu)建者找出最適合系統(tǒng)和業(yè)務(wù)場景的風(fēng)險解決方案。

威脅建模提供了一組規(guī)范的工具和方法用來幫助我們處理系統(tǒng)中潛在的安全風(fēng)險，交付更安全的系統(tǒng)。最理想的情況是，我們在開始構(gòu)建系統(tǒng)的時候，將安全需求分析引入系統(tǒng)需求分析步驟，在系統(tǒng)概要設(shè)計和詳細(xì)涉及階段引入威脅建模分析部分，并將其作為測試階段安全測試工作的指導(dǎo)，輸出測試報告的同時輸出安全報告。

在現(xiàn)實(shí)中，很多已經(jīng)上線的系統(tǒng)依然面臨著各種的潛在威脅和業(yè)務(wù)風(fēng)險，頂象技術(shù)在航旅、電商等現(xiàn)實(shí)業(yè)務(wù)攻防中依靠積累下來的數(shù)據(jù)和經(jīng)驗(yàn)，累積了豐富的業(yè)務(wù)風(fēng)險攻擊庫和相應(yīng)的防護(hù)措施，通過對現(xiàn)有業(yè)務(wù)系統(tǒng)的威脅建模，輸出全鏈路、多環(huán)節(jié)縱深風(fēng)控體系，能有效保障業(yè)務(wù)的健康運(yùn)營。

本文由 @金融科 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理，未盡許可，禁止轉(zhuǎn)載。

題圖來自Unsplash，基于CC0協(xié)議