《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 威脅建模亟待一場(chǎng)變革

威脅建模亟待一場(chǎng)變革

2021-07-25
來(lái)源:安全牛
關(guān)鍵詞: 威脅建模 變革

微信圖片_20210725203514.jpg

  企業(yè)需要重新考慮他們的威脅建模方法,,否則可能會(huì)失去威脅建模這一網(wǎng)絡(luò)安全武器庫(kù)中關(guān)鍵防御武器的價(jià)值,。

  01 威脅建模過(guò)程

  傳統(tǒng)的威脅建模方法可能非常有效,,但在當(dāng)前的計(jì)算和威脅環(huán)境中,它們的擴(kuò)展性不夠好,。隨著越來(lái)越多的業(yè)務(wù)運(yùn)營(yíng)轉(zhuǎn)向數(shù)字化,解決組織的所有高優(yōu)先級(jí)威脅變得非常耗時(shí),,導(dǎo)致太多漏洞未得到解決,。

  如何簡(jiǎn)化這個(gè)過(guò)程?組織應(yīng)該首先意識(shí)到他們正在反向進(jìn)行威脅建模,,并且他們需要顛倒這些模型的開(kāi)發(fā)方式,。

  02 建模更簡(jiǎn)單

  從廣義上講,威脅建模涉及從日常的安全工作中退一步,,以了解企業(yè)的系統(tǒng),、評(píng)估網(wǎng)絡(luò)和數(shù)字資源、識(shí)別威脅環(huán)境中的漏洞并優(yōu)先考慮涵蓋保護(hù),、響應(yīng),、補(bǔ)救和恢復(fù)的計(jì)劃。在某些情況下,,威脅建模團(tuán)隊(duì)可能主要由安全專(zhuān)業(yè)人員和架構(gòu)師組成,。在其他情況下,組織可以將各種利益相關(guān)者聚集在一起,,包括應(yīng)用程序所有者,、技術(shù)支持人員,、管理員等。

  這些團(tuán)隊(duì)有許多明確定義的框架需要遵循,,例如STRIDE,,它是1999年由Microsoft開(kāi)發(fā)的。STRIDE中的威脅建模會(huì)議通常以類(lèi)似于白板會(huì)議的方式開(kāi)始,,安全專(zhuān)家和利益相關(guān)者在會(huì)上討論風(fēng)險(xiǎn)因素,,并集思廣益怎么辦。然而,,這種方式目前必須要改變,。

  如果企業(yè)每次都通過(guò)在白板上繪制系統(tǒng)組件和架構(gòu)圖來(lái)開(kāi)始其流程,但一旦遇到的是在應(yīng)用程序中擴(kuò)展威脅建模,,那么這種會(huì)議討論的方式已經(jīng)落后了,。

  隨著技術(shù)和數(shù)字系統(tǒng)在快速發(fā)展的基于云的環(huán)境中變得越來(lái)越普遍,一群專(zhuān)家坐在一個(gè)房間里幾個(gè)小時(shí),,是無(wú)法與多個(gè)系統(tǒng)日益增加的威脅相抗衡的,,因?yàn)橐粋€(gè)大型組織可能擁有數(shù)百個(gè)系統(tǒng)。更具有挑戰(zhàn)性的是,,隨著物聯(lián)網(wǎng)的發(fā)展,,新的威脅媒介不斷出現(xiàn),這些媒介涵蓋了從汽車(chē)和交通燈到工業(yè)控制系統(tǒng)和人們客廳中的連接產(chǎn)品的方方面面,。

  在許多方面,,硬件漏洞和物聯(lián)網(wǎng)構(gòu)成了全新的領(lǐng)域,創(chuàng)造了新的目標(biāo)類(lèi)型,。企業(yè)是否可以使用當(dāng)前的勞動(dòng)密集型方法對(duì)如此多的新攻擊向量進(jìn)行建模,?答案是:不能。

  03 切入正題

  網(wǎng)絡(luò)安全業(yè)界的一個(gè)新興趨勢(shì)是從另一端(攻擊端)開(kāi)始威脅建模過(guò)程,。組織可以?huà)呙璎F(xiàn)有系統(tǒng),,整合有關(guān)當(dāng)前和可能威脅的數(shù)據(jù),而不是從白板和人聲鼎沸的會(huì)議開(kāi)始,,安全團(tuán)隊(duì)需要像黑客一樣思考,,試圖識(shí)別潛在威脅。

  數(shù)字化轉(zhuǎn)型的一線(xiàn)希望在于,,大多數(shù)系統(tǒng)都有一種公開(kāi)數(shù)據(jù)的方法,,可以幫助企業(yè)識(shí)別引入業(yè)務(wù)風(fēng)險(xiǎn)的組件或流程。借助結(jié)構(gòu)化數(shù)據(jù)和分析工具,,安全從業(yè)人員可以快速生成不同的系統(tǒng)風(fēng)險(xiǎn)模型,,以突出整個(gè)組織的威脅、漏洞和弱點(diǎn)。

  如果企業(yè)以可重復(fù)的自動(dòng)化方式執(zhí)行此操作,,就不僅可以同時(shí)對(duì)數(shù)百個(gè)應(yīng)用程序執(zhí)行威脅建模,,而且建模過(guò)程可以近乎實(shí)時(shí)地進(jìn)行,以基于活動(dòng)系統(tǒng)持續(xù)監(jiān)控組織的安全狀況,。

  通過(guò)利用工具可以自動(dòng)掃描系統(tǒng)中的元數(shù)據(jù),,以對(duì)各種領(lǐng)域的威脅進(jìn)行建模,例如在源代碼存儲(chǔ)庫(kù),、云管理工具和配置管理數(shù)據(jù)庫(kù)中就可以這樣建模,。企業(yè)可以利用與各種技術(shù)組件相關(guān)的商業(yè)漏洞或開(kāi)源數(shù)據(jù)庫(kù),例如OWASP TOP10,、MITRE ATT&CK框架以及由安全提供商整合的大量數(shù)據(jù)庫(kù),。

  通過(guò)將從這些系統(tǒng)掃描中發(fā)現(xiàn)的技術(shù)資產(chǎn)與已知組件弱點(diǎn)和漏洞的數(shù)據(jù)庫(kù)相匹配,組織可以快速確定其基線(xiàn)安全狀況,。然后,,它可以在此基礎(chǔ)上進(jìn)行構(gòu)建,決定哪些漏洞適合進(jìn)行完整的白板頭腦風(fēng)暴會(huì)議,。這將創(chuàng)建一種更高效,、更有效的方法,能夠?qū)⑼{建模的優(yōu)勢(shì)應(yīng)用于組織認(rèn)為可能構(gòu)成最大風(fēng)險(xiǎn)因素的所有威脅,。

  04 建模未來(lái)發(fā)展

  威脅建模的時(shí)代還沒(méi)有過(guò)去,它仍然是解決風(fēng)險(xiǎn)和漏洞非常有價(jià)值的工具,。但是,,如果企業(yè)想借它涵蓋自身的所有業(yè)務(wù),那么原有的威脅建模方法會(huì)拖慢整個(gè)流程,。

  但通過(guò)優(yōu)先使用自動(dòng)化工具和大量可用威脅信息評(píng)估企業(yè)安全風(fēng)險(xiǎn)的方式來(lái)逆轉(zhuǎn)這一過(guò)程,,可以更快地解決所有高風(fēng)險(xiǎn)威脅,且不會(huì)忽視任何威脅,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話(huà)通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話(huà):010-82306118,;郵箱:[email protected],。