风险评估与威胁建模:关键区别与技术实践解析

本文详细阐述了风险评估与威胁建模在网络安全领域的核心区别。风险评估侧重识别资产价值、漏洞及潜在威胁,以量化风险并指导管理决策;威胁建模则更深入模拟攻击者思维,聚焦具体攻击路径并设计实施安全缓解措施。两者相辅相成,构成完整的安全防护体系。

风险评估与威胁建模:有何区别?

风险评估和威胁建模都能帮助组织了解其遭受成功攻击的风险敞口。这两种方法都很重要,但要理解风险评估和威胁建模之间的区别,公司需要知道什么是风险,什么是威胁。而这首先需要对漏洞进行定义。

安全漏洞是系统中存在的某种故障、弱点或缺陷。它可能存在于IT基础设施、硬件或软件中,也可能存在于某个流程(如补丁管理)中,或者存在于控制措施在系统内实施或部署的方式中。要利用漏洞,必须存在威胁。这种威胁可能有多种形式——例如恶意软件或恶意内部人员——但只要它阻碍系统保护数据安全或按设计运行的能力,就是一种威胁。

因此,漏洞使系统暴露于威胁之下。而风险则代表威胁发生后可能造成的潜在财务损失和损害。系统中存在的漏洞越多,可能的威胁数量就越多,风险也就越高。

让我们来看看风险评估和威胁建模,它们都识别和评估威胁,但目标不同。

什么是风险评估?

风险评估是风险管理的关键部分。这些评估应定期进行,让高级管理层了解他们面临的危险,确定哪些风险是可接受的,并采取措施减轻那些被认为最关键的风险。

第一步是对组织的信息资产(或选定范围内的资产)进行分类,并确定其价值。下一步是识别风险——这些资产的漏洞和潜在威胁。应该评估所有风险,即使是那些不属于直接网络安全漏洞的风险,例如业务连续性风险、设备故障或员工技能短缺——任何可能停止或中断运营的因素。

应该评估所有风险,即使是那些不属于直接网络安全漏洞的风险,例如业务连续性风险、设备故障或员工技能短缺——任何可能停止或中断运营的因素。

收集完这些信息后,进行风险分析。检查每项资产以衡量其暴露程度。考虑其可能受到攻击的可能性,以及如果发生攻击,会造成何种损害。确定最重要资产的优先级。

现在是进行风险评估的时候了。通过这一步,高级管理层可以实施适合组织及其运营监管环境的风险处理计划,旨在将风险降低到可接受的水平。

请注意,没有两家公司拥有完全相同的风险或风险偏好。话虽如此,有许多可用的框架和指南可以帮助公司进行全面风险评估,包括:

  • NIST 信息系统和组织风险管理框架:安全和隐私的系统生命周期方法。
  • NIST 特别出版物 800-30 Rev. 1 风险评估实施指南。
  • ISO/IEC 27005:2022 信息安全、网络安全和隐私保护——管理信息安全风险指南。
  • OCTAVE,关键操作威胁、资产和漏洞评估实施指南。

欧盟网络安全局也发布了一份免费的风险管理框架汇编。

虽然风险评估估算了威胁危害资产的可能性以及发生攻击时的损害程度和成本,但它并不探究威胁如何具体显现或资产如何受到攻击。

风险等于概率乘以影响。要知道攻击的概率,你必须了解可能影响或针对资产的威胁。这就是威胁建模的作用所在。

什么是威胁建模?

与风险评估类似,威胁建模也识别和分类资产、其潜在漏洞和威胁,并对每个威胁进行优先级排序。但风险评估仅确定是否需要采取对策,而威胁建模则更进一步,定义这些对策。威胁建模"像攻击者一样思考",因此专注于最可能发生的攻击。

了解对手的策略、技术和程序,使公司能够通过将最合适的对策纳入其系统架构和代码库来更有效地对抗威胁。攻击者赋予资产的价值越高,他们为控制该资产所付出的努力(工作因子)就越大。

公司可以利用各种网络威胁情报报告来确定哪些攻击者可能针对某些资产。这些资源还强调了这些攻击可能如何发生。有了这些信息,公司可以专注于最脆弱的资产并应对最危险的威胁。

以下是威胁建模最常见的阶段:

  1. 确定威胁模型的范围。
  2. 确定威胁。
  3. 对每个威胁进行排序。
  4. 选择并实施缓解措施——可选方案包括避免、转移、降低和接受。
  5. 记录所有发现和缓解措施。

考虑这个例子:访问用户个人资料(资产)需要身份验证。但密码身份验证容易受到暴力破解攻击(漏洞)——黑客(威胁)有很多可用的破解工具,如 THC Hydra 和 Ncrack。为了抵御这类攻击,需要使用强密码并限制登录次数(缓解措施)。多因素身份验证是另一个有用的工具。这些控制措施的有效性可以在渗透测试和其他安全审查中得到验证。

流行的威胁建模方法和框架包括:损害、可复现性、可利用性、受影响用户、可发现性 (DREAD),NIST 的数据中心系统威胁建模指南,攻击模拟和威胁分析过程 (PASTA),Microsoft 的假冒、篡改、抵赖、信息泄露、拒绝服务和权限提升 (STRIDE),欧盟的 OCTAVE 倡议,以及开源威胁和风险识别与知识工程 (TRIKE)。

每当设计新系统或应用程序时,都应进行威胁建模演练。它有助于建立所需的安全控制措施,以便每个组件都能构建成能够抵御攻击。

风险评估与威胁建模对比

在比较风险评估与威胁建模时,你会发现两者有很多重叠之处。两者都是解决潜在风险的预防性和主动性活动。然而,风险评估通常比威胁建模涵盖更广的范围。风险评估应定期进行,或在 IT 环境或威胁形势发生重大变化时进行。初步的风险评估还提供了一个基线,用于监控风险降低的进展以及安全投资的有效性。

威胁建模则更具体、更详细。风险评估考虑可能的对策;威胁建模则定义并实施它们。威胁建模通过针对系统入口点以及静态和传输中数据的场景,识别漏洞、潜在风险以及缓解步骤。威胁建模的长期好处之一是成功攻击减少,从而减少为修复安全漏洞而对系统和应用程序进行的重新设计和更新。

每个组织都需要建立信息安全管理框架,以便拥有信息资产和所有者的登记册、定义的可接受安全风险级别以及确保风险处于可接受容忍水平内的缓解计划。

风险评估与威胁建模不是非此即彼的选择。它们扮演着互补的角色,各自帮助组织保护活动和项目免受不可接受的风险。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次