【超前部署】一拳公開 8 個最普及 Threat Modeling

威脅模型分析（Threat Modeling）是尋找系統潛在威脅，按風險評估，擬定對抗策略，再分配資源建立防禦系統。守護機密資料係所有資安團隊的終極目標，法規與監管有助企業尋找數據化年代的營運方式，資安風險層出不窮，風險不一，Threat Modeling 以系統性方法，偵測系統的潛在威脅，堵塞漏洞守護系統。

現時的 Therat Modeling 大致歸納為 3 類，第一種是軟體導向（Software-Centric Approach），以系統的設計方式與運作目的為基礎，尋找對此系統或其內部模組相關類型的攻擊方式，Microsoft Security Development Lifecycle 便是利用此方式；第 2 種是資產導向（Asset-Centric Approach），以系統管理的資訊為基礎，分析資訊敏感度再作部署，資安專家會建立 Attack Trees 與 Attack Graphs，並借助資產導向策略衡量黑客入侵目標。Trike、Amenazas、Securi Tree 是常用於建立 Attack Trees 與 Attack Graphs 的程式；最後是攻擊者導向（Attacker-Centric），以黑客為基礎，模擬攻擊者目的與手段，關鍵是黑客動機，並以此建立防衛對策。以下介紹 8 個普及的 Threat Modeling Methodologies。

(1) Stride

最普及 Threat Modeling 手法，也是 Microsoft SDL  預設 STRIDE Risk Modeling 工具。它可細分成以下 6 個威脅類別：

Spoofing－冒充身份的威脅；
Tampering－篡改數據的威脅；
Repudiation－被忽略的威脅；
Information Disclosure－資訊外洩威脅；
Denial of Service－入侵者干擾裝置或網絡令用戶短暫甚至無了期不能連線，以至不能提供服務的威脅；
Elevation of Privileges－因程式錯誤、設計缺陷、系統設定而令 OS 不尋常開放權限的威脅。

(2) DREAD

DREAD 特點是可以在確定潛在威脅後，訂立應對先後次序。它將資安威脅分成以下 5 個類別：
Damage－攻撃帶來的破壞力評估
Reproducibility－攻擊是否容易複製
Exploitability－衡量攻擊的籌備工作與成本
Affected Users－幾多用戶受影響
Discoverability－威脅是否容易探測

(3) P.A.S.T.A

PASTA（Attack Simulation and Threat Analysis Process）是模擬攻擊與威脅分析過程，由 7 個程序組成，目的是確保技術安全要求與業務目標保持一致。

Define Objectives（定義目標）
Define Technical Scope（定義技術範圍）
Application decomposition（應用程序分解）
Threat Analysis（威脅分析）
Vulnerability and Weakness Analysis（漏洞和弱點分析）
Attack Modeling（攻擊模型）
Risk and Impact Analysis（風險與影響分析）

(4) Trike

有別代入入侵者思維的威脅模型，Trike 從資安審查角度出發，由所有持份者與資安團隊共同列出可以承擔的風險程度，資安團隊按此建構威脅模型。Trike 優點是其高度靈活性與自動化可能。

(5) NIST

由 U.S. National Standards and Technology Institute 開發，專門管理數據，它由以下 4 個步驟組成：

將受保護資訊歸類
辨識並選擇要防範的攻擊切面
為各攻擊切面安排相應的防範措施
分析威脅模式

(6) Fuzzy Logic

Fuzzy Logic 以 Fuzzy Set Theory（模糊集合理論）基礙概念。它依靠 MATLAB Fuzzy Tool 來偵測威脅，按 STRIDE 模型輸入相關資料後，MATLAB Fuzzy Tool 的 Fuzzy Inference Engine 會列出潛在威脅。

(7) LINDDUN

由 Likability、Identification、Non-repudiation、Detectability、Information Disclosure、Noncompliance、Non-compliance 組成的 LUNDDUN，針對私隱與數據而開發，當中涉及 6 個步驟。

(8) VAST

由 Visual、Agile、Simple Threat 為基礎概念，其優點在於規模與應用上有極大彈性，不論企業大小，它都能全盤監管所有基礎設施面對的威脅，定期並持續地向所有持份者給予行動引指。團隊需要先建立 Application Threat Model 與 Operational Threat Model；前者由建構角度出發，後者代入入侵者思維；前者使用 Process-flow Diagram，後者則用 DFDs。VAST 可以隨 DevOps 周期作出變化，特別適合高速成長的企業。

Threat Modeling 讓資安團隊更有目標運作，有效分配資源，按情況可單獨或混合使用。Threat Modeling 的關鍵在於威脅情報精準度，能預測入侵者行動，就能盡量保持主動性，縮細防禦範圍。資安團隊應該盡量增加情報渠道，情報來源必需具追溯性。使用 Threat Modeling 時，團隊必需考慮防衛目標、執行頻率、經驗值等。由於威脅日新月異，建議各位定期執行，才能達至全面保護。

資料來源：https://cybersecuritynews.com/profiling-cyber-threat-modeling/