著名威胁模型并非一个固定清单,因为威胁建模是一个动态过程,其关注点会根据具体系统和上下文而变化。 然而,一些模型和方法在实践中被广泛应用,并被认为是业界最佳实践。
例如,STRIDE 模型是一个常用的威胁分类法,它关注六个主要的威胁类别:欺骗(Spoofing)、篡改(Tampering)、否认(Repudiation)、信息泄露(Information disclosure)、拒绝服务(Denial of service)、权限提升(Elevation of privilege)。 我曾经参与一个医疗影像系统项目,使用 STRIDE 模型识别潜在威胁。我们发现,一个看似无害的外部接口,如果缺乏严格的身份验证和授权机制,就可能导致信息泄露,甚至篡改病患的医疗记录。 这迫使我们重新设计接口,增加了多因素身份验证和详细的审计日志记录,有效地降低了风险。
另一个流行的方法是 DREAD 模型,它通过评估威胁的损害(Damage)、可复现性(Reproducibility)、可利用性(Exploitability)、可检测性(Affected users)和可发现性(Discoverability)五个方面来衡量威胁的严重性。 我记得在一次网络安全审计中,我们使用 DREAD 模型对一个在线银行系统进行风险评估。 一个潜在的 SQL 注入漏洞,虽然可利用性较高,但由于其可检测性也相对较高,且损害相对可控(及时发现可迅速修复),因此我们将其优先级降低,优先处理其他更严重的威胁。
PASTA 模型则更侧重于对软件架构的分析,它将威胁建模与软件设计过程紧密结合。 在开发一个内部邮件系统时,我们采用了 PASTA 方法。通过对系统架构的详细分析,我们提前识别了潜在的跨站脚本攻击(XSS)风险,并在编码阶段就采取了相应的预防措施,避免了后期修复的成本和风险。
此外,还有像威胁状态转换图(Threat State Transition Diagram)和攻击树(Attack Tree)等更高级的模型,它们更适合于复杂系统的安全分析。 选择哪种模型取决于项目的具体需求和团队的专业知识。 关键在于选择适合自己项目的模型,并将其与实际的安全实践相结合,才能有效地识别和降低风险。 切记,威胁建模不是一个一次性的任务,而是一个持续改进的过程,需要不断地迭代和完善。
