High level威胁建模作为安全架构设计分析中的一个关键活动,其主要的作用是分析现有系统架构的架构级安全风险,并给出架构消减方案。
| 攻击树 | TVRA | STRIDE | |
|---|---|---|---|
| 基本思路 | 从攻击者的角度,通过树状图来描述攻击路径,是典型的黑客逆向思维的模式 | 通过资产被攻击的可能性及分攻击的后果来分析安全风险 | 将业务进行数据流化处理,再根据6个安全维度对系统进行威胁建模 |
| 标准化 | 无,面向攻击,为达目的不择手段 | eTVRA | 面向防御,有分析模型。微软 |
| 自动化程度 | 较低 | 较低 | 较高 |
| 规范化 | 较低(主要依赖于经验和头脑风暴) | 一般 | 较高 |
| 业界应用 | 英国政府、安全研究机构 | 爱立信 | 微软及业界较多公司 |
| 输出结果 | 列举对系统可能的攻击 | 列举系统的弱点及风险 | 列举威胁,评估风险,制定对应措施 |
| 人员技能要求 | 高 | 较高 | 较高 |
| 优劣分析 | 优势:能对某个威胁点进行深入全面的攻击路径分析 劣势:标准化呈度低,对人员安全攻击背景和技能要求高,适合安全专业研究组织/个人使用 | 优势:目标明确,以资产的纬度进行风险管理,比较适合对复杂系统在宏观上的分析 劣势:对分析人员的产品熟悉度要求较高,具备一定的安全背景; | 优势:基于数据流图的分析,流程比较规范,自动化程度高,对人员技能要求相对较低 劣势:偏向防御,攻击思维相对较弱,不需要分析完整的攻击路径 |
| 威胁类型 | 描述 | 安全属性 |
|---|---|---|
| Spoofing (仿冒) | 攻击者仿冒用户或处理过程 | 身份认证(A) |
| Tampering (篡改) | 攻击者恶意修改数据 | 完整性(I) |
| Repudiation (抵赖) | 攻击者拒绝承认从事一项活动 | 审计(A) |
| Information Disclosure (信息泄露) | 信息被未授权的访问或获取 | 机密性(C) |
| Denial of Service (拒绝服务) | 无法正常提供服务 | 可用性(A) |
| Elevation of Privilege (权限提升) | 处理过程拥有的权限高于实际需要的权限 | 授权(A) |
威胁分析流程
绘制信任边界
识别关键元素
威胁问卷分析
制定消减措施
架构安全方案设计