风险评估与威胁建模:有何区别?
风险评估和威胁建模都能帮助企业了解遭受成功攻击的风险程度。这两种方法都很重要,但要理解它们之间的差异,企业需要明确风险与威胁的构成要素——这首先需要厘清漏洞的定义。
安全漏洞的本质
安全漏洞是系统中存在的故障、弱点或缺陷。它可能存在于IT基础设施、硬件或软件中,也可能存在于流程(如补丁管理)或控制措施在系统内的实施方式中。要利用漏洞,必须存在威胁。威胁可能以多种形式出现——例如恶意软件或恶意内部人员——只要它削弱系统保护数据安全或按设计运行的能力,就构成威胁。
因此,漏洞使系统面临威胁。而风险则代表威胁发生时可能造成的财务损失和损害。系统中存在的漏洞越多,可能的威胁就越多,风险也越高。
下面让我们深入探讨风险评估和威胁建模——两者都识别并排序威胁,但目标有所不同。
什么是风险评估?
风险评估是风险管理的关键环节。这些应定期执行的评估让高级管理层了解面临的危险,确定可接受的风险,并采取措施缓解最关键的威胁。
实施步骤:
- 对组织的信息资产(或选定范围内的资产)进行分类并确定其价值
- 识别风险——这些资产的漏洞和潜在威胁
- 评估所有风险,包括网络安全直接违规之外的业务连续性风险、设备故障或员工技能短缺等可能中断运营的因素
收集信息后,进行风险分析:检查每项资产的暴露程度,考虑遭受攻击的可能性及可能造成的损害,优先保护最重要资产。
接着进行风险评价:高级管理层根据组织和监管环境实施风险处理计划,将风险降低到可接受水平。
需要注意的是,没有两家公司具有相同的风险或风险承受能力。以下框架可帮助企业进行全面风险评估:
- NIST信息系统和组织风险管理框架
- NIST特别出版物800-30 Rev.1风险评估指南
- ISO/IEC 27005:2022信息安全指南
- OCTAVE操作关键威胁、资产和漏洞评估指南
风险评估估算威胁危害资产的可能性及攻击发生时的损失程度,但不探讨威胁如何显现或资产如何被攻击。
什么是威胁建模?
威胁建模与风险评估类似,也识别和分类资产、潜在漏洞和威胁,并对每个威胁进行优先级排序。但风险评估仅确定是否需要对策,威胁建模则更进一步定义这些对策。威胁建模"像攻击者一样思考",因此专注于最可能发生的攻击。
了解对手的策略、技术和程序,使企业能够通过将最合适的对策纳入系统架构和代码库来更有效地对抗威胁。攻击者对资产价值评估越高,他们为控制资产付出的努力(工作因子)就越大。
企业可利用各种网络威胁情报报告来确定哪些攻击者可能瞄准特定资产,这些资源还突出显示了攻击可能的发生方式。有了这些信息,企业可以专注于最脆弱的资产并应对最危险的威胁。
威胁建模常见阶段:
- 建立威胁模型范围
- 确定威胁
- 对每个威胁排序
- 选择并实施缓解措施——避免、转移、减少和接受
- 记录所有发现和缓解行动
示例分析: 访问用户配置文件(资产)需要身份验证。但密码认证容易受到暴力攻击(漏洞)——黑客可使用多种破解工具(威胁)。为抵御此类攻击,需采用强密码并限制登录次数(缓解措施)。多因素认证是另一个有用工具。这些控制措施的有效性可在渗透测试和其他安全审查中得到验证。
流行的威胁建模方法包括DREAD、NIST以数据为中心的系统威胁建模指南、PASTA、Microsoft的STRIDE、欧盟的OCTAVE倡议和TRIKE。
每次设计新系统或应用程序时都应执行威胁建模,这有助于建立所需的安全控制措施,确保每个组件都能抵御攻击。
风险评估与威胁建模对比
比较风险评估与威胁建模时,会发现许多重叠之处。两者都是解决潜在风险的预防性和主动性实践。但风险评估通常比威胁建模范围更广,应定期或在IT环境或威胁态势发生重大变化时进行。初始风险评估还提供了监测风险降低进展和安全投资有效性的基线。
威胁建模更具体和详细:风险评估考虑可能的对策;威胁建模则定义并实施这些对策。威胁建模通过针对系统入口点和静态/传输中数据的场景,识别漏洞、潜在风险和缓解步骤。威胁建模的长期益处包括成功攻击减少,从而减少为修复安全缺陷而进行的系统和应用程序重新设计和更新。
每个组织都需要建立信息安全管理框架,包括信息资产和所有者登记册、可接受安全风险的定义水平以及确保风险处于可接受容忍水平的缓解计划。
风险评估与威胁建模不是二选一的关系。它们发挥互补作用,共同帮助组织保护活动和项目免受不可接受的风险。