当我们开始抛下“天下无毒”的幻想,接受“与狼共舞”的事实时,威胁的度量就成为一个必然要面对的问题。对威胁的度量,也被称为威胁建模(Threatmodeling),目前最经典的两个威胁建模是微软公司的STRIDE和DREAD模型,虽然微软并没有说明这两个模型的性质,但是分析一下就可以知道,STRIDE是威胁分类模型,而DREAD是威胁评估模型。
STRIDE模型最后的修订时间是2009年,它用六类威胁名称的首字母组成了模型的名字,因此很难翻译成中文。这六类威胁分别是:身份欺骗(Spoofingidentity)、数据篡改(Tampering with data)、抵赖(Repudiation)、信息泄露(Information disclosure)、拒绝服务(Denial of service)和提权(Elevation of privilege)[1]。
身份欺骗指的是利用其它用户名密码登录系统的恶意行为;数据篡改指的是对数据的恶意修改行为;抵赖是指用户做了非法操作但是又抹掉了操作痕迹导致无法证明该操作是由该用户做的恶意行为;信息泄露是指把信息暴露给不该看到该信息的人;拒绝服务是指有一些如DDoS攻击可以造成服务器拒绝服务的恶意行为;提权(Elevation ofprivilege)是指低权限用户非法获得系统高权限的行为。
另外,微软也提供了在服务器开发场景下,与STRIDE模型对应的缓解威胁的认证技术[2]。例如可以通过授权、哈希、消息认证码、数字签名、防篡改协议等多种技术来解决“数据篡改”这类威胁。
DREAD模型约产生于2007年,它同样是首字母命名法,将威胁分为五种评估维度:破坏性(Damage)、可复现性(Reproducibility)、可利用性(Exploitability)、用户被影响性(Affected users)和可发现性(Discoverability)[3]。
破坏性是评估造成明显破坏的指标,包括数据丢失、硬件或介质损坏、性能降低等情况;可复现性是评估攻击成功与否的指标,像漏洞利用、安装失败等情况;可利用性是威胁评估攻击难度的指标,比如一个大学生能发起的攻击就是高可利用性的,需要行业专家才能发起的攻击就是低可利用性的;用户被影响性是评估威胁攻击后能够影响用户范围的指标,比如DDoS攻击当掉一台服务器能够影响许多人这就是高影响性的;可发现性是评估威胁能被利用的可能性的指标,该指标很难正确评估,最安全的方法就是假定一切漏洞最终都能被利用,从而用其它方法来确定威胁的危害程度。
这五个指标每个指标都采用1-10的分值,对目标进行威胁评估时,每项的分数相加,总分再除以5,最后得分就是该目标的危害程度。通过上面的内容可以发现,威胁分类里并没有包含病毒的内容,缓解技术也只是针对软件系统的部分安全手段,比较适合像微软这样的软件开发企业使用。
总的来说,STRIDE和DREAD很难成为安全建设的指导模型,但是它对了解威胁本身,却提供了一个很好的依据,因此在整个威胁评价体系里,拥有非常重要的地位。
如果想了解更多网络安全人和事,欢迎搜索微信公众号:锐安全,或下方扫码进入:
用户评论