一个企业面临的威胁环境是在不断变化的,一个企业自身的业务也是在不断改变的,就需要一个企业定期的回顾检查它所使用的威胁模型,看它是否和企业当前的内部外部环境所同步,必要的时候进行调整以符合当时的情境。本篇文章详细探讨如何建立威胁模型以及如何进行威胁模型的风险评估。
威胁模型的用武之地
对于一个企业来说,在以下情境中,威胁模型将会凸显它的有效性和不可替代性:
1、需要对一个运行多年的复杂信息系统进行安全加固。
2、一个组织几乎没有采取过什么有效的安全措施,而现在需要去保障它的网络安全。
对于前者,各个子系统的功能和子系统间的依赖关系错综繁复,往往让人一时间无从下手。而对于后者,由于是从头做起,部署一个全面的防护将会是一个不小的挑战。而威胁模型将会是解决以上问题的有效途径。
什么是威胁模型
威胁模型的含义是通过建立模型来处理企业所面临的安全威胁问题。它涉及到对安全风险的识别、评估等过程,从而帮助企业的信息安全管理人员合理有效得开展工作。
威胁模型的作用
威胁模型对帮助企业应对安全威胁具有突出的优势。包括以下五个方面。
1、弥补照搬安全行业标准进行管理所带来的缺陷。一个组织对安全风险进行评估和定级的传统做法是按照通用的安全管理框架和标准进行操作,比如ISO27001。这么做确实有它的合理性,但是当中存在的缺陷值得我们认真考虑:
- 这些既定的标准和要求,都是针对已知问题而提出来的,不能适应新的情况。
- 对安全问题和风险所采取的措施不够深入。
- 有时投入了大量的人力物力,然而实际效果并不佳。
采用威胁模型进行安全管理,能很好地解决上面的不足。
2、通过使用威胁模型,可以对企业内部的信息系统了解得更加全面。人们在对一个组织进行安全管理的时候,往往会遇到一些挑战,比如:
- 将要进行的安全防护是从头做起。
- 所面临的系统非常复杂,而该系统对企业的业务来说又至关重要,不容出现差错。
- 要管理的是一些遗留系统,但是却缺少相关的文档。
在这种情况下,要对一个企业的系统进行安全管理,必须要对整个系统的运行机制有一个较为深入的掌握,要明白各个子系统是如何协同工作,如何相互依赖的。否则,安全管理工作将寸步难行。然而如果决定建立威胁模型,那么就需要对企业里的信息系统资产进行评估,对各个子系统之间是如何支持配合做进一步深入详细的了解。这样才可以通过威胁模型的建立和使用帮助你提高对目标系统的了解。
3、提高员工安全意识。如果要建立安全模型,需要去跟企业里专门负责各个系统的工作人员进行沟通,他们有可能是系统的开发者,也有可能是系统的运维人员。同他们沟通的目的是深入了解系统功能和运行情况,为威胁模型的建立做好准备工作。在这个过程中,你会同他们讨论具体威胁的各种细节,帮助他们树立起更好的安全意识,以便在以后的运维和管理工作中更加严谨和规范。
4、对各项安全管理措施进行次序优化。当前,有些企业所实施的安全管理措施,多是一些通用的、泛泛的管理措施,缺少同企业自身具体情况的结合。这样的管理措施在每个企业各自具体的环境中往往效果不太好。而威胁模型将会帮助企业着眼于可能面临的具体风险,选择合理的安全管理措施,并对其次序进行优化。这样得到的安全措施才会更加具有针对性和有效性,方便有所侧重。
5、提高安全管理效率。安全评估在时间上是受限的,因此必须把有限的时间集中在值得关注的点上。威胁模型可以让企业的安全管理人员更加透彻的理解各种攻击方式,从而明白真正具有威胁的攻击路径,避免无意义的时间消耗。
如何建立威胁模型
威胁模型建立步骤
当前普遍采用的三种威胁模型分别是:Trike,PASTA和Microsoft Stride。威胁模型是多种多样的,但是建立过程却大致相同,基本上可以分为四个步骤,分别是:明确目标、分解系统、识别威胁、评估威胁。
(一)明确目标
建立威胁模型需要做的第一步就是明确企业需要达到的安全目标是什么,有了目标,才可以对后面的措施进行取舍。为了做到这一点,需要具体结合企业的业务需求。之后,根据以上安全目标和业务需求,缩小与之相关的技术范围。建立威胁模型是一项很消耗时间的工作,缩小需要关注的技术范围会节省大量时间,让精力集中在必要的地方。查阅系统的相关技术文档对于缩小技术范围是个不错的选择。
(二)分解系统。
这一步的目的,是获得一份易受攻击目标的清单。首先,对系统细节的掌握是至关重要的。系统细节包括系统架构,各个子系统的功能,以及子系统之间是如何相互作用的,甚至还要了解整个信息系统是怎样同外界交互的。
使用数据流程图可以帮助理解各个系统组件之间的协同关系,也可以帮助企业确认信任边界,从而有效的筛选攻击者可能采用的攻击路径。
(三)确定威胁
在分解系统之后,需要枚举所有可能的威胁以及与威胁相关的系统组件,并对这些威胁进行记录。对于威胁的记录要全面,不允许有任何的错误和遗漏。在记录威胁的工作中,建议使用某种分类方法,将得到的结果进行分类。对于一个规模稍大一些的企业,所得到的威胁记录会多到不易处理,分类之后的同一类的威胁,在后续安全管理措施的选择上,往往也是相同的。
在整个记录和分类过程中,始终要注意同企业自身的业务相结合,围绕企业需要达到的安全目标来展开。
(四)评估威胁
到此为止,应该已经掌握了针对该系统的威胁情况和攻击场景。接下来,就要对威胁结果的分类赋予相应的权重,得到一份关于威胁严重程度的优先级排序以及相应安全措施的优先级。在威胁排序过程中,可以从企业资产的种类、攻击造成的严重程度、攻击发生的可能性大小等方面进行考虑。在排序过程中,要紧密结合企业的自身特性和所面临的具体情况。针对企业比较关心的某个特定威胁应该提升其优先级。
企业建立一个威胁模型往往并不是那么一帆风顺的。这里给出几个小技巧,仅供参考。
1、充分利用团队的帮助。只依靠自己的力量很难去为企业建立一个完善的威胁模型。建立威胁模型的前提是对企业的系统有深入的理解,除了参阅系统文档之外,可以组建一个小组收集系统的重要信息和关键细节,从宏观上更好的理解系统架构,组员包括相关系统的设计开发人员、使用人员以及维护人员。
2、不要着急,稳步前进。建立一个成熟的威胁模型是需要花费很多时间的,同时需要多个部门间的协调合作。所以耐心和专注是顺利完成建模任务的重要前提。
3、在面对一个较为庞大系统的时候,由于各个子系统间复杂的交互和依赖关系,异构的技术体系,容易让人不知所措,这时候追寻数据流是一个很有效的方法。一方面,攻击者总会想办法和你的系统产生通信,那么把研究数据流中作为出发点会更容易理解攻击者的攻击途径,更容易发现需要关注的地方。另一方面,一些重要的安全问题都和数据有关,比如数据泄露,数据破坏等等。因此,从数据流出发是一个很好的选择。
威胁模型的风险评估和适应性调整
使用威胁模型的最终目的在于得到对一个企业所属资产的风险情况。在对风险进行评估时,一个常用的公式是:风险=影响*可能性。影响是指某个威胁所对应的攻击发生时对企业所造成的破坏性程度;可能性是指该攻击发生的概率。二者共同决定了该风险的大小。
有些企业对所属资产进行了详细分类,这对威胁所造成的破坏性评估是很有帮助的。如果企业没有相关的分类,就应该同专门的业务管理者协作,弄清相关资产的价值。
在对攻击发生概率进行评估的时候,会涉及到企业的安全管理措施和相关的脆弱性等因素。然而有一点往往会被忽略,那就是攻击者的攻击动机和攻击能力。一个攻击者发动攻击动机越强,攻击能力越强,威胁级别也就越高;反之,动机越弱,攻击能力越弱,则威胁级别就越低。如图3所示。
威胁级别
攻击者会对如何利用一个企业的脆弱点进行大量的投入和深入的研究,想尽办法以各种方式发动进攻。他们的攻击会对企业信息系统的可用性,完整性、保密性和隐私性造成破坏。站在企业的角度,这些攻击者可以分为四类:以特权用户为代表的内部受信任者、以常规用户为代表的内部非受信任者、以合作伙伴为代表的外部受信任者和以竞争对手、网络罪犯为代表的外部非受信任者。
威胁来源
攻击者的动机具备多种多样,比如,内部受信任者发起了一次攻击也许仅仅是为了对这个企业进行报复;而外部受信任者发起了一次攻击可能是为了获得某些敏感数据,比如商业机密;而外部非受信任者发动的攻击则可能出于政治目的等等。考虑上述攻击者的身份、动机、能力等因素的复杂性,寻找一个威胁情报的提供方是一个不错的选择。这样可以获得当前以及未来潜在的威胁情报,帮助你的企业做好应对决策。
就像开头说的一样,一个企业面临的威胁环境是在不断变化的,业务也是在不断改变的,需要一个企业定期的回顾检查它所使用的威胁模型,可以进行调整以符合当时的情境。
如果您需要了解更多内容,可以
加入QQ群:570982169、486207500
直接询问:010-68438880-8669