风险评估与威胁建模：有什么区别？

风险评估和威胁建模都能帮助企业了解面临攻击时的暴露程度。虽然这两种方法都很重要，但要理解它们之间的区别，企业需要先明确风险与威胁的构成要素——这首先需要定义漏洞的概念。

安全漏洞、威胁与风险

安全漏洞是系统中存在的故障、弱点或缺陷。它可能存在于IT基础设施、硬件或软件中，也可能存在于流程（如补丁管理）或控制措施在系统中的实施方式中。要利用漏洞，必须存在威胁。威胁可以表现为多种形式——例如恶意软件或恶意内部人员——但只要它影响系统保护数据安全或按设计运行的能力，就构成威胁。

因此，漏洞使系统面临威胁。而风险则代表威胁发生时可能造成的财务损失和损害。系统中存在的漏洞越多，可能的威胁就越多，风险也就越高。

接下来让我们看看风险评估和威胁建模，它们都能识别和排序威胁，但目标不同。

什么是风险评估？

风险评估是风险管理的关键组成部分。这些应定期进行的评估让高级管理层了解面临的危险，确定可接受的风险，并采取措施缓解那些被认为最关键的威胁。

第一步是对组织的信息资产（或选定范围内的资产）进行分类并确定其价值。下一步是识别风险——即这些资产的漏洞和潜在威胁。所有风险都应进行评估，即使是那些不属于直接网络安全漏洞的风险，如业务连续性风险、设备故障或员工技能短缺——任何可能停止或中断运营的因素。

所有风险都应进行评估，即使是那些不属于直接网络安全漏洞的风险，如业务连续性风险、设备故障或员工技能短缺——任何可能停止或中断运营的因素。

收集这些信息后，进行风险分析。检查每项资产以衡量其暴露程度。考虑其可能受到攻击的可能性，以及如果发生攻击可能造成的损害类型。优先考虑最重要的资产。

现在是进行风险评估的时候了。通过这一步，高级管理层可以实施适合组织及其运营监管环境的风险处理计划，旨在将风险降低到可接受的水平。

需要注意的是，没有两家公司具有相同的风险或风险承受能力。话虽如此，有许多框架和指南可帮助企业进行全面的风险评估，包括：

NIST信息系统和组织风险管理框架：安全和隐私的系统生命周期方法
NIST特别出版物800-30 Rev.1 风险评估指南
ISO/IEC 27005:2022 信息安全、网络安全和隐私保护——信息安全管理指南
OCTAVE，操作关键威胁、资产和漏洞评估实施指南

欧盟网络安全局也发布了免费的风险管理框架汇编。

虽然风险评估评估了威胁危害资产的可能性以及发生攻击时损害的程度和成本，但它不探讨威胁如何显现或资产如何受到攻击。

风险等于概率乘以影响。要了解攻击的概率，你必须了解可能影响或针对资产的威胁。这就是威胁建模的用武之地。

什么是威胁建模？

威胁建模与风险评估一样，识别和分类资产、其潜在漏洞和威胁，并对每个威胁进行优先级排序。但风险评估仅确定是否需要对策，而威胁建模则更进一步，定义这些对策。威胁建模"像攻击者一样思考"，因此专注于最可能发生的攻击。

了解对手的策略、技术和程序，使企业能够通过将最合适的对策纳入其系统架构和代码库来更有效地对抗威胁。攻击者对资产的价值评估越高，他们为控制资产所付出的努力（工作因素）就越大。

企业可以利用各种网络威胁情报报告来确定哪些攻击者可能针对某些资产。这些资源还强调了这些攻击可能如何发生。有了这些信息，企业可以专注于最脆弱的资产并应对最危险的威胁。

以下是威胁建模最常见的阶段：

建立威胁模型的范围
确定威胁
对每个威胁进行排序
选择并实施缓解措施——选择包括避免、转移、减少和接受
记录所有发现和缓解行动

考虑这个例子：访问用户配置文件（资产）需要身份验证。但密码身份验证容易受到暴力攻击（漏洞）——而且黑客有许多破解工具可用，如THC Hydra和Ncrack（威胁）。为了抵御这类攻击，需要使用强密码并限制登录次数（缓解）。多因素认证是另一个有用的工具。这些控制措施的有效性可以在渗透测试和其他安全审查中进行验证。

流行的威胁建模方法和框架包括DREAD（损害、可再现性、可利用性、受影响用户、可发现性）、NIST以数据为中心的系统威胁建模指南、攻击模拟和威胁分析过程、Microsoft的STRIDE（欺骗、篡改、抵赖、信息泄露、拒绝服务、权限提升）、欧盟的OCTAVE倡议以及开源威胁和风险识别与基于知识的工程。

每次设计新系统或应用程序时都应进行威胁建模练习。它有助于建立所需的安全控制措施，以便每个组件都能构建成能够抵御攻击的形式。