风险评估与威胁建模:差异解析与技术实践
安全基础概念界定
安全漏洞指系统中的故障、弱点或缺陷,可能存在于IT基础设施、硬件、软件、流程(如补丁管理)或控制措施部署方式中。威胁则是利用漏洞的实体(如恶意软件或内部恶意人员),会破坏系统数据安全或正常运行。风险代表威胁发生时可能造成的财务损失与损害程度,系统漏洞越多,威胁可能性越高,风险越大。
风险评估:系统性风险管控
风险评估是风险管理的核心环节,需定期执行以使管理层:
- 资产分类与估值:识别组织信息资产及其价值
- 风险识别:涵盖网络安全漏洞、业务连续性风险、设备故障、人员技能短缺等所有可能中断运营的因素
- 风险分析:评估资产暴露程度、攻击可能性及潜在损害,优先处理关键资产
- 风险处置:制定符合组织与监管环境的风险处理计划,将风险降至可接受水平
权威框架参考
- NIST风险管理框架(信息系统与组织生命周期方法)
- NIST SP 800-30 Rev.1 风险评估指南
- ISO/IEC 27005:2022 信息安全风险管理指南
- OCTAVE(可操作关键威胁、资产与漏洞评估)
风险=概率×影响。评估需量化攻击概率,但本身不探究威胁具体实现方式。
威胁建模:攻击者思维实战
威胁建模在资产识别、漏洞/威胁分类排序基础上,进一步定义并实施应对措施,其核心流程包括:
- 设定威胁模型范围
- 确定具体威胁
- 威胁等级排序
- 选择缓解措施(规避/转移/降低/接受)
- 记录发现与缓解行动
技术实践案例
用户配置文件(资产)需身份验证,但密码认证存在暴力破解漏洞(漏洞),黑客可使用THC Hydra、Ncrack等工具(威胁)。缓解措施包括:
- 强制使用强密码
- 登录次数限制
- 多因素认证 有效性需通过渗透测试验证
主流方法论
- DREAD(损害/可复现性/可利用性/影响范围/可发现性)
- NIST以数据为中心的系统威胁建模指南
- PASTA(攻击模拟与威胁分析过程)
- STRIDE(欺骗/篡改/抵赖/信息泄露/拒绝服务/权限提升)
- OCTAVE及开源TRIKE(威胁风险识别与知识工程)
核心差异与协同价值
| 维度 | 风险评估 | 威胁建模 |
|---|---|---|
| 范围 | 宏观(整体IT环境与威胁态势) | 微观(特定系统/应用) |
| 输出 | 风险优先级清单 | 具体缓解措施与实施方案 |
| 执行时机 | 定期或重大变更时 | 新系统/应用设计阶段 |
| 长期效益 | 风险降低基线监测 | 减少成功攻击,避免安全重构 |
两者构成互补关系:风险评估提供战略视角,威胁建模提供战术解决方案。组织需建立信息安全治理框架,包含资产登记、可接受风险级别定义及风险容忍度内的缓解计划。
技术实践提示:威胁建模需聚焦系统入口点、静态/传输中数据,通过攻击场景分析识别最可能发生的威胁类型。