1、威胁建模的目的就是班组理解系统中潜在的安全威胁,明确风险并建立相应的消减机制
2、 价值:风险管理,安全设计,降低攻击面,指导测试
3、 业界常用威胁建模方法: 攻击树(攻击者角度),TVRA(爱立信用的比较多,通过资产被攻击的可能性),STRIDE(微软,6个安全维度,对人员技能要求比较低)
4、STRIDE:
S (仿冒), 通过认证(密码认证,SSL,IPSEC ,SSH)预防
篡改(T恶意修改数据),通过完整性(HASH,MAC,数字签名,ACL等)预防
抵赖(R攻击者拒绝承认从事一项活动),通过认证,审计日志预防
信息泄露(I信息被未授权的访问或者而获取),通过机密性(加密,ACL等)预防
拒绝服务(D 无法正常提供服务),通过可用性(负载平衡,过滤,缓存等)预防
权限提升(E),通过授权(权限最小化,沙箱等)预防
数据流图的变化-》基于系统架构视图分析
重点分析 业务组件和接口两个关键元素
5、华为最佳实践:根据分析问卷完成8维度安全架构设计框架
6、架构图:全:包含所有组件,要素,抽象,平衡
绘制信任边界:网络边界,用户边界,主机边界
识别关键元素:外部接口,关键组件,系统处理的对象(文件,数据),系统交互的主体
7,像攻击者一样思考,帮助理解系统中潜在的威胁,明确风险并建立相应的消减机制
8,low level 建模绘制数据流图,威胁分析。风险评估,制定消减措施,产品响应,
9、绘制数据流图:
元素:外部交互方,处理过程,数据存储,数据流
划分信任边界
10、威胁分析, STRIDE威胁表
11、
网友评论