如何实施“威胁模型”以增强组织的安全性

 
在当今网络威胁的复杂性和数量每年都在不断增长的世界中，威胁建模是组织可用来增强安全性的最有利，最实用的工具之一。
什么是威胁模型?简而言之，该过程旨在通过对给定系统中需要保护的所有资产进行分类，识别可能受到攻击的人员和方向以及如何保护它们，来提升组织的安全状况。业界通常将这些练习与软件开发生命周期的早期阶段相关联，但它也适用于固件和硬件。
如果您是这个概念的新手，那么必须先了解所涉及的每个步骤，这一点很重要。让我们看一下构建威胁模型的五个主要阶段：
1.盘点资产
开发威胁模型的第一阶段是确定您关心的问题。在保护系统之前，首先需要全面了解最重要的资产以及资产在任何时候的运行和存储位置。
一般而言，构建资产目录是一个手动过程，其中可能包含诸如加密密钥，加密数据，私钥，系统管理RAM，对关键安全功能的访问等内容。
2.确定安全目标和非目标
接下来，列出您要保护每种资产免受的危害，并确定安全目标的优先级。为此，安全团队通常会根据“ CIA三合会”对其资产进行全面审核。这是评估安全最重要三个方面的模型。机密性(谁可以访问资产)，完整性(可以修改资产)和可用性(是否保护资产免受拒绝服务和其他攻击)。
每个组织的安全目标和非目标都是唯一的，并且优先级是根据多种因素确定的，这些因素包括风险水平，对手成功利用某些攻击媒介的可能性以及所需的资源量(在组织和组织攻击者的部分)。
3.布置对手模型
在进行威胁建模时，您需要问的最重要的问题之一是，我的对手是谁?是对计算机具有网络访问权的人，具有物理访问权的人还是具有软件访问权的人?
根据您在步骤2中建立的安全目标，您的对手模型实质上是您需要防御的攻击者角色列表。它将概述他们是谁，他们的技能可能是什么，他们拥有什么特权级别以及他们选择的攻击方法。
了解您是否担心脚本小子，对软件编程有深刻了解的攻击者或能够对硬件进行逆向工程的人员(或以上所有人员)，对于能够主动开发缓解潜在威胁的方法至关重要。
4.查明所有相关的威胁媒介和攻击
现在是时候开始研究潜在的攻击媒介了。这是最耗时的阶段，其中包括与已知(传统)攻击以及最先进的威胁保持同步。在此阶段，您必须了解资产的数据流。它们在哪里存放?他们加密了吗?过渡时期呢?您的团队必须介入对手的脚步，并确定每种可能的攻击媒介。
您是否应该担心固件中的特权升级，防止未经授权的访问以打开或关闭安全功能，启用或禁用调试和闪存锁，或者降级为容易受到某些攻击的较早的合法软件版本?您需要了解这些是否对您的组织构成风险，以防止受到威胁。
威胁模型的这一部分将包括所有威胁向量和每种威胁向量的矩阵。在此过程中经常使用的一种行业资源是CVSS计算器，它使安全团队能够使资产与目标，对手模型，攻击媒介以及相关的严重性级别保持一致。
5.制定必要的缓解措施
从那里开始，您需要针对每种潜在的攻击编写缓解措施。例如，您可能会制定缓解措施，以防止系统修改固件，方法是强制系统在进行任何与批准的策略不匹配的更改时阻止系统引导。或者，缓解措施可以通过将恶意行为列入黑名单来防止不良行为者运行恶意驱动程序。
威胁模型的这一部分实质上是一个矩阵，其中包括针对您要防御的每种资产的每种可能攻击的至少一种缓解措施。
有效威胁建模的技巧
现在，您已经完成了这五个步骤，您应该拥有有效的威胁模型所需的要素。与任何主要的安全流程或过程一样，您可以并且应该实施各种最佳实践，以避免出现严重的陷阱，并增加威胁模型从长远来看可以成功改善组织的安全状况的可能性。
一种重要的最佳实践是在组织内广泛共享文档。在产品开发的各个阶段(架构师，开发人员，验证团队和安全研究人员)之间没有广泛的交流，该文档的用处并不大。当所有团队都基于相同的威胁模型进行操作时-牢记相同的目标，威胁和缓解措施-我们增加了交付与假设一致的，具有凝聚力，安全的产品的机会。
这样可以最大程度地降低代价高昂的安全监督或错误的可能性。尽可能考虑与更广泛的行业共享威胁模型，这可以帮助其他组织改进其产品并提高我们的集体安全性。
此外，您必须将威胁模型视为“活动文档”。威胁建模过程中的最后也是最重要的一步是从未真正“完成”。请定期重新检查和完善威胁模型。随着威胁形势的发展(它会不断地无休止地发展)，您的威胁模型必须适应新的威胁，攻击技术等。如果不这样做，将导致漏洞丢失，漏洞未利用的漏洞，对相关安全研究的无知，和其他安全盲区。
此外，利用可以加快和增强威胁建模过程的现有规范和技术。例如，当今，大多数平台都利用由Intel，AMD，Microsoft和其他PC制造商开发的统一可扩展固件接口(UEFI)规范来克服BIOS固件的许多性能缺陷。还需要注意的是，遵循NIST标准(例如NIST 800-193)是帮助确保平台，软件和产品与强大的威胁模型保持一致的另一种方法。
组织还可以使用安全性验证工具(例如开源CHIPSEC项目)来分析硬件，设备和系统固件配置的平台级安全性。特别是，CHIPSEC提供了可在不同平台版本之间应用的累积测试，从而帮助组织捕获潜在的回归并简化针对威胁模型假设的测试。
像这样的高级自动化分析工具以及其他一些分析工具(其中一些工具专注于负面测试，符号执行，模糊测试等)允许对固件安全性进行大规模改进，并且对于使组织能够更轻松地识别其系统中的漏洞并进行验证非常有帮助。威胁建模过程中的缓解措施。
建立生存威胁模型
正确进行威胁建模可以极大地改善组织的安全状况。它是您关心的每项资产的蓝图，您需要如何保护它们，要保护的对象是谁，可以通过什么方式访问它们，可能进行何种攻击以及可以使用的缓解措施。
使用上述最佳做法，确保您开发的威胁模型有效，并在组织中被视为强大，必要且反复的框架，以提高安全性。