像攻击者一样思考：论威胁分析中的建模模型

一款好的产品不仅要有优秀的架构，还要有安全的功能设计，以及开发中安全的编码方式，但是这些要如何保障呢？

要知道：安全不只是在安全漏洞出现之后的补救，我们更需要的是在最初就做好计划，将安全意识前移，做到防范于未然。

为了评估产品架构和功能设计中的安全风险，我们需要站在攻击者的角度去识别风险点，针对相应的安全问题制定消减措施，保障产品的安全性。

此时威胁建模应运而生

STRIDE由微软开发，是现在最为常用的一种威胁模型。

现在的项目中如果需要在流程节点中进行威胁建模，一般都会选择STRIDE模型进行威胁识别。

这个模型良好的定义了威胁从发现到闭环，以及闭环后的处理这一套完整的流程，首先我们先来了解一下六个维度和四种元素。

基础的信息安全三要素：机密性，完整性，可用性。

上图是一个典型的DFD案例（此图片是使用微软免费发布的威胁建模软件绘制：Microsoft Threat Modeling Tool），它主要由四种元素组成，分别是：长方形，圆形，双横线，带指向的箭头。

了解STRIDE的分析策略

就像我们使用一个函数或者公式之前需要了解它独特的适用条件一样，我们在运用STRIDE进行建模时也需要提前熟悉它的分析策略，每种元素都会按照其本身的属性指定它们将会存在的风险，下面我们来具体看看每个元素需依照的准则吧。

建立缓解措施

此步骤主要是为了帮助我们对在模型中发现的问题进行实时消减方案的解读，缓解措施的录入首先需要输出一个威胁列表，威胁列表中的每个威胁包含这几项，此处给出一个样例模板（包含：组件、威胁描述、威胁类别、攻击方法、消减方案、危险评级，具体表格格式）例如：

威胁评级

进行到此刻，结合MicrosoftTread Modeling Tool工具，就可以对你在第一步绘制的DFD进行解读了，将模型中检测出来的风险点和你制定的缓解措施结合起来分析，将会得出比较详细的威胁分析报告。

你的DFD绘制的越细致，延伸到的相关对象越多，那么对于威胁的识别则越精准，同时，你对缓解措施描述越完整准确，那么在形成的威胁分析报告中则会体现更多的内容，包括但不仅限于处理问题的优先级，修复模板，修复通用方案等，这些信息可以帮助你决定处理风险项的先后顺序，对于影响较小的问题可以选择忽略。

验证并落实缓解措施

后续就可以拉上你的小伙伴一起开会，对前期录入的模型所形成的报告进行讨论啦，修改检出风险的设计流程或者补充未在模型中体现的部分，这样在产品前期就可以规避这些由模型检查出的安全问题了，同时也减少了后期安全问题排查的工作量，至此一套威胁评估方案就基本结束了。

谈到这里，大家是不是有很多问号？？？我们上面示例表中的风险程度高低到底是通过什么评判标准得到的呢？下面我们就一起来看看能够确定问题修复优先级的重要模型---DREAD。

其实业界有很多评估模型，比如CVSS、OWASP、DREAD，其中最常用的一般是CVSS打分系统，但是DREAD是作为微软的亲儿子经常和STRIDE一起出现，所以我们本次就先谈谈它吧！

就像CVSS有三个度量组：[基础-base]，[时间-Temporal]，[环境-Environmental]，共14个评估标准，DREAD主要是分为5个评判指标：

关于每一个评价指标都有相应的权值可参考，高中低的程度也有比较确切的描述：

最后的等级通过计算公式进行计算：

DREAD模型的计算方式：等级=危害性+复现难度+利用难度+受影响用户+发现难度

通过这个公式，就可以计算出这个问题的风险等级啦，虽然相对与CVSS打分要稍微简单一点，但也可以比较可观的评价一个漏洞的风险级了。

以上就是关于微软对于其威胁建模的两个模型的定义，这两个模型和其研发的威胁建模工具Microsoft Threat Modeling Tool强相关， 感兴趣的同学可以上网找找TMT的使用步骤了解了解，使用方法超简单的，小编在这里就不多赘述了哈~

各位小伙伴们~下次再见啦~

此处参考：

https://www.anquanke.com/post/id/161442

https://www.secrss.com/articles/3298

https://mp.weixin.qq.com/s/-gHMhj1Qdl1N5rCne61m4Q