风险评估与威胁建模：网络安全防护的双重支柱

风险评估与威胁建模：有什么区别？

风险评估和威胁建模都能让组织了解自身面临攻击的风险程度。这两种方法都很重要，但要理解它们之间的差异，公司需要明确风险与威胁的构成要素——这首先需要对漏洞进行定义。

安全漏洞是系统中存在的某种故障、弱点或缺陷。它可能存在于IT基础设施、硬件或软件中，也可能存在于流程（如补丁管理）或控制措施在系统内的实施方式中。要利用漏洞，必须存在威胁。威胁可能以多种形式出现——例如恶意软件或恶意内部人员——但只要它阻碍系统保护数据安全或按设计运行的能力，就构成威胁。

因此，漏洞使系统面临威胁。而风险则代表威胁发生时可能造成的财务损失和损害。系统中存在的漏洞越多，可能的威胁就越多，风险也就越高。

接下来让我们看看风险评估和威胁建模，它们都识别并对威胁进行排序，但目标不同。

风险评估是风险管理的关键组成部分。这些应定期执行的评估让高级管理层了解面临的危险，确定哪些风险可接受，并采取措施缓解那些被认为最关键的風險。

第一步是对组织的信息资产（或选定范围内的资产）进行分类并确定其价值。下一步是识别风险——即这些资产的漏洞和潜在威胁。所有风险都应评估，即使是那些不属于直接网络安全漏洞的风险，如业务连续性风险、设备故障或员工技能短缺——任何可能停止或中断运营的因素。

收集信息后，进行风险分析。检查每项资产以衡量其暴露程度。考虑其可能遭受攻击的可能性，以及如果发生攻击可能造成的损害类型。优先保护最重要的资产。

然后是风险评估。通过这一步，高级管理层可以实施适合组织及其运营监管环境的风险处理计划，旨在将风险降低到可接受的水平。

需要注意的是，没有两家公司具有相同的风险或风险承受能力。话虽如此，有许多框架和指南可帮助公司进行全面风险评估，包括：

欧盟网络安全局还发布了免费的风险管理框架汇编。

虽然风险评估估计了威胁危害资产的可能性以及发生攻击时的损害范围和成本，但它不探讨威胁如何显现或资产如何受到攻击。

风险等于概率乘以影响。要了解攻击的概率，必须了解可能影响或针对资产的威胁。这就是威胁建模的用武之地。

威胁建模与风险评估一样，识别和分类资产、其潜在漏洞和威胁，并对每个威胁进行优先级排序。但风险评估仅确定是否需要对策，而威胁建模更进一步，定义这些对策。威胁建模"像攻击者一样思考"，因此专注于最可能发生的攻击。

了解对手的策略、技术和程序，使公司能够通过将最合适的对策纳入其系统架构和代码库来更有效地对抗威胁。攻击者对资产的价值评估越高，他们为控制该资产所付出的努力（工作因素）就越大。

公司可以利用各种网络威胁情报报告来确定哪些攻击者可能针对某些资产。这些资源还强调了这些攻击可能如何发生。有了这些信息，公司可以专注于最脆弱的资产并应对最危险的威胁。

以下是威胁建模最常见的阶段：

考虑这个例子：访问用户个人资料（资产）需要身份验证。但密码身份验证容易受到暴力攻击（漏洞）——而且黑客有许多破解工具可用（威胁）。为了抵御这类攻击，需使用强密码并限制登录次数（缓解）。多因素身份验证是另一个有用的工具。这些控制措施的有效性可以在渗透测试和其他安全审查中进行验证。

流行的威胁建模方法和框架包括DREAD、NIST以数据为中心的系统威胁建模指南、攻击模拟和威胁分析过程、微软的STRIDE模型、欧盟的OCTAVE倡议以及开源威胁和风险识别与基于知识的工程。

每次设计新系统或应用程序时都应执行威胁建模练习。它有助于建立所需的安全控制措施，使每个组件都能构建成能够抵御攻击。

在检查风险评估与威胁建模时，会发现大量重叠。每种都是解决潜在风险的预防性和主动性练习。然而，风险评估通常比威胁建模涵盖更广的范围。风险评估应定期进行，或在IT环境或威胁形势发生重大变化时进行。初始风险评估还提供了基准，用于监控风险降低的进展以及安全投资的有效性。

威胁建模更具体和详细。风险评估考虑可能的对策；威胁建模定义并实施它们。威胁建模通过针对系统入口点和数据（静态和传输中）的场景来识别漏洞、潜在风险和缓解步骤。威胁建模的长期好处之一是成功攻击减少，从而减少为修复安全漏洞而对系统和应用程序进行的重新设计和更新。

每个组织都需要建立信息安全管理框架，以便拥有信息资产和所有者的登记册、可接受的安全风险水平以及确保风险处于可接受容忍水平的缓解计划。

风险评估与威胁建模不是非此即彼的选择。它们扮演互补角色，各自帮助组织保护活动和项目免受不可接受的风险。