威胁建模落地实战-刘夏

威胁建模落地实战

什么是威胁建模

• 识别威胁：识别潜在的攻击方式和攻击者。
• 保护资产：确保关键业务资产的安全。
• 降低风险：通过提前识别和解决安全问题，减少系统风险。

传统安全模型 vs 安全左移模型

• 传统安全模型：安全工作在开发后期进行，可能导致安全漏洞难以修复。
• 安全左移模型：将安全融入整个开发流程，提高系统安全性。

关键环节

• 产品审核
• 安全运营
• 安全需求
• 安全架构
• 威胁建模
• 渗透测试
• 安全编码
• 静态分析
• 动态分析
• 安全培训

威胁建模的好处

• 提前识别问题，节省安全审核时间。
• 在设计阶段识别风险，降低后期风险。
• 早期与安全团队讨论，提高设计质量。
• 强化产品安全性，提升市场竞争力。
• 实施安全左移策略，增强系统安全性。

参与者

• 产品经理/业务分析师
• 开发团队
• 安全团队

融合趋势

• 尽管仍存在隔阂，但已形成类似虚拟团队的形式。

总体思路

• 资产：从业务角度出发。
• 应用：从应用角度出发。
• 攻击者：从攻击者角度出发。

制作威胁模型架构图

• 标明建模范围。
• 记录业务信息和安全信息。
• 分类分层。
• 按照业务命名标记高价值资产。
• 识别用户和系统范围。
• 识别基本组件和外部依赖。
• 识别交互方式和安全边界。
• 标记高价值资产。
• 根据需要补充细节。

关键步骤

• 识别威胁：从资产、漏洞、攻击者角度出发。
• 梳理威胁列表：全面、准确地列出威胁。
• 解释威胁：结合业务上下文详细说明。
• 选择参考资料：使用抽象模型（STRIDE）和细粒度模型（CAPEC）。
• 制定消解措施：记录修复缺陷、添加安全控制、转移责任等。

消解措施

• 修复缺陷：修复识别出的具体漏洞。
• 安全控制：在设计中添加安全控制。
• 转移/替换：将部分处理威胁的责任转移到第三方系统。
• 变更需求：变更需求以规避威胁。
• 监控/审计：对资产进行监控。
• 预防措施：准备应急策略。
• 接纳/妥协：接纳威胁并通过条款声明规避风险。

综合考虑

• 优先级：影响消解措施的实施策略。
• 团队讨论：与团队达成一致。
• 业务相关性：避免破坏业务规则。

总结

• 创建威胁模型架构图。
• 确定威胁状态。
• 针对威胁制定消解措施。
• 结合业务实际情况灵活选择消解措施。
• 确保消解措施不破坏业务。