风险评估与威胁建模:核心差异与技术实践解析

本文深入剖析了信息安全领域中风险评估与威胁建模的核心区别与联系。文章详细解释了漏洞、威胁与风险的定义,并系统介绍了风险评估的步骤、常用框架以及威胁建模的方法论与实践阶段,旨在帮助组织有效识别、排序并缓解安全风险。

风险评估与威胁建模:有何区别?

风险评估和威胁建模都能帮助组织了解其遭受成功攻击的风险暴露程度。这两种方法都很重要,但要理解风险评估与威胁建模之间的差异,公司需要知道什么构成风险,什么构成威胁。而这首先需要对漏洞进行定义。

漏洞、威胁与风险

安全漏洞是系统中某种形式的故障、弱点或缺陷。它可能存在于IT基础设施、硬件或软件中,也可能存在于某个流程(如补丁管理)中,或控制措施在系统内实施或部署的方式中。要利用漏洞,必须存在威胁。这种威胁可能有多种形式——例如恶意软件或恶意内部人员——但只要它阻碍了系统保护数据安全或按设计运行的能力,它就是威胁。

因此,漏洞使系统暴露于威胁之下。而风险则代表了威胁发生时可能造成的潜在财务损失和损害。系统中存在的漏洞越多,可能的威胁就越多,风险也就越高。

让我们来看看风险评估和威胁建模,它们都识别并对威胁进行排序,但目标不同。

什么是风险评估?

风险评估是风险管理的关键部分。这些评估应定期执行,让高级管理层了解他们面临的风险,确定哪些风险是可接受的,并采取措施来缓解那些被认为最关键的风险。

第一步是对组织的信息资产(或选定范围内的资产)进行分类,并确定其价值。下一步是识别风险——即这些资产的漏洞和潜在威胁。所有风险都应被评估,即使是那些不属于直接网络安全漏洞的风险,例如业务连续性风险、设备故障或员工技能短缺——任何可能中断或干扰运营的因素。

收集这些信息后,进行风险分析。检查每项资产,衡量其暴露程度。考虑其可能遭受攻击的可能性,以及如果发生攻击,会造成何种损害。对最重要的资产进行优先级排序。

接下来是风险评估。通过这一步,高级管理层可以实施适合组织及其运营环境的风险处置计划,旨在将风险降低到可接受的水平。

请注意,没有两家公司具有完全相同的风险或风险偏好。尽管如此,有许多可用的框架和指南可以帮助公司进行全面的风险评估,包括:

  • NIST 信息系统和组织风险管理框架:安全和隐私的系统生命周期方法。
  • NIST 特别出版物 800-30 修订版 1 进行风险评估指南。
  • ISO/IEC 27005:2022 信息安全、网络安全和隐私保护——管理信息安全风险的指南。
  • OCTAVE,操作关键威胁、资产和漏洞评估实施指南。

欧盟网络安全局也发布了一份免费的风险管理框架汇编。

虽然风险评估评估了威胁危害资产的可能性以及攻击发生时应产生的损害程度和成本,但它并不探讨威胁如何显现或资产如何被攻击。

风险等于概率乘以影响。要知道攻击的概率,你必须了解可能影响或针对资产的威胁。这就是威胁建模的作用所在。

什么是威胁建模?

与风险评估类似,威胁建模也会识别和分类资产、其潜在漏洞和威胁,并对每个威胁进行优先级排序。但风险评估仅确定是否需要采取应对措施,而威胁建模更进一步,定义了这些应对措施。威胁建模“像攻击者一样思考”,因此专注于最可能发生的攻击。

了解对手的战术、技术和程序,使公司能够通过将最合适的应对措施纳入其系统架构和代码库,来更有效地对抗威胁。攻击者赋予资产的价值越高,他们为了控制该资产所付出的努力(工作因子)就越大。

公司可以利用各种网络威胁情报报告来确定哪些攻击者可能针对特定资产。这些资源还强调了这些攻击可能如何发生。掌握这些信息后,公司可以专注于最脆弱的资产,并应对最危险的威胁。

以下是威胁建模中最常见的阶段:

  1. 确立威胁模型的范围。
  2. 确定威胁。
  3. 对每个威胁进行排序
  4. 选择并实施缓解措施——选择包括避免、转移、降低和接受。
  5. 记录所有发现和缓解行动。

考虑这个例子:访问用户的个人资料(资产)需要身份验证。但密码验证容易受到暴力破解攻击(漏洞)——而且黑客(威胁)有大量破解工具可用,如 THC Hydra 和 Ncrack。为了抵御这类攻击,需要使用强密码并限制登录次数(缓解措施)。多因素认证是另一个有用的工具。控制措施的有效性可以在渗透测试和其他安全审查中得到验证。

流行的威胁建模方法和框架包括:DREAD(损害、可再现性、可利用性、受影响用户、可发现性)、NIST 的以数据为中心的系统威胁建模指南、PASTA(攻击模拟和威胁分析过程)、微软的 STRIDE(欺骗、篡改、否认、信息泄露、拒绝服务、特权提升)、欧盟的 OCTAVE 倡议以及开源的 TRIKE(威胁与风险识别和基于知识的工程)。

每次设计新系统或应用程序时都应进行威胁建模练习。它有助于建立所需的安全控制措施,以便每个组件都能抵御攻击。

风险评估与威胁建模对比

在比较风险评估与威胁建模时,你会发现两者有很多重叠之处。两者都是旨在解决潜在风险的预防性和主动性活动。然而,风险评估通常比威胁建模涵盖更广泛的范围。风险评估应定期进行,或在IT环境或威胁格局发生重大变化时进行。初始风险评估还为监测风险降低的进展以及安全投资的有效性提供了基线。

威胁建模则更具体和详细。风险评估考虑可能的应对措施;威胁建模则定义并实施它们。威胁建模通过针对系统入口点以及静态和传输中数据的场景,来识别漏洞、潜在风险以及缓解步骤。威胁建模的长期好处之一是成功的攻击更少,从而减少为修复安全缺陷而对系统和应用程序进行的重新设计和更新。

每个组织都需要建立一个信息安全管理框架,以便拥有信息资产和所有者的登记册、定义的可接受安全风险水平以及确保风险处于可容忍水平内的缓解计划。

风险评估与威胁建模不是二选一的关系。它们扮演着互补的角色,各自帮助组织保护活动和项目免受不可接受的风险。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次