风险评估与威胁建模:差异解析与实施指南
风险评估和威胁建模都能帮助组织了解自身面临攻击的暴露程度。虽然这两种方法都很重要,但要理解它们之间的差异,企业需要明确风险(risk)与威胁(threat)的构成要素——这首先需要厘清漏洞(vulnerability)的定义。
核心概念解析
安全漏洞是指系统中的故障、弱点或缺陷,可能存在于IT基础设施、硬件或软件中,也可能存在于补丁管理等流程或控制措施的实施方式中。要利用漏洞,必须存在威胁——无论是恶意软件还是内部恶意人员,只要其阻碍系统保护数据或正常运作的能力,就构成威胁。
由此可见,漏洞使系统面临威胁。而风险则代表威胁发生时可能造成的财务损失和损害程度。系统中存在的漏洞越多,潜在威胁数量就越多,风险等级也越高。
什么是风险评估?
风险评估是风险管理的关键环节,应定期执行以帮助高层管理人员:
- 理解面临的危险
- 确定可接受的风险类型
- 采取措施缓解最关键的威胁
实施步骤:
- 对组织信息资产进行分类并确定其价值
- 识别资产面临的漏洞和潜在威胁
- 进行风险分析:评估每项资产的暴露程度、遭受攻击的可能性及潜在损失
- 通过风险评估制定风险处理计划,将风险降低至可接受水平
常用框架:
- NIST风险管理框架(信息系统与组织)
- NIST特别出版物800-30 Rev.1
- ISO/IEC 27005:2022
- OCTAVE实施指南
风险评估估算威胁危害资产的可能性及攻击造成的损失程度,但不探究威胁的具体实现方式。
什么是威胁建模?
威胁建模同样需要识别和分类资产、潜在漏洞与威胁,并进行优先级排序。但与风险评估仅确定是否需要应对措施不同,威胁建模会进一步定义具体应对措施,其核心在于"像攻击者一样思考",重点关注最可能发生的攻击场景。
通过理解对手的战术、技术和程序,企业可以将最合适的应对措施融入系统架构和代码库。攻击者对资产价值评估越高,其攻克资产所需的"工作因子"就越大。
威胁建模阶段:
- 确立威胁模型范围
- 识别威胁
- 对威胁进行分级
- 选择并实施缓解措施(规避、转移、降低或接受)
- 记录所有发现和缓解行动
实例分析: 访问用户配置文件(资产)需要身份验证,但密码验证易受暴力破解攻击(漏洞)——黑客可使用THC Hydra、Ncrack等破解工具(威胁)。应对措施包括使用强密码限制登录次数(缓解),多因素认证也是有效工具。控制措施的有效性可通过渗透测试等安全评审进行验证。
常用方法论:
- DREAD模型
- NIST以数据为中心的系统威胁建模指南
- PASTA(攻击模拟与威胁分析过程)
- STRIDE(欺骗、篡改、抵赖、信息泄露、拒绝服务、权限提升)
- OCTAVE倡议
应在设计新系统或应用程序时执行威胁建模,帮助建立所需的安全控制措施,确保每个组件都能抵御攻击。
核心差异对比
尽管风险评估与威胁建模存在重叠,但各有侧重:
- 风险评估范围更广泛,应定期执行或在IT环境/威胁态势发生重大变化时进行
- 威胁建模更具体详细:风险评估考虑可能的应对措施,威胁建模则定义并实施这些措施
- 长期效益:威胁建模能减少成功攻击次数,从而降低因修复安全缺陷导致的系统重构和更新需求
每个组织都需要建立信息安全管理框架,包括信息资产登记册、可接受安全风险等级定义以及确保风险处于可容忍水平的缓解计划。风险评估与威胁建模并非二选一的关系,它们发挥互补作用,共同帮助组织保护活动和项目免受不可接受的风险。