网络安全:威胁建模、风险管理与边界网络设计
1. 威胁建模与风险分析
在进行网络安全防护时,威胁建模和风险分析是关键的起始步骤。通过分析雇佣合适的攻击者来执行各类攻击所需的成本,可以确定最具可能性的攻击方式。例如,在某个案例中,最有前景的攻击手段是对 SMTP 网关进行黑客攻击以及攻击远程用户。这意味着相关企业需要仔细审视其边界网络架构、SMTP 服务器的系统安全以及远程访问策略和实践。
在攻击树威胁建模中,除了成本,还可以为叶节点赋予其他类型的值。例如,布尔值“可行”和“不可行”就很有用。如果在攻击路径上的某个点标记为“不可行”,就可以较为安全地排除该路径遭受攻击的可能性。此外,也可以分配以分钟或小时为单位的工作量指数。总之,我们可以通过多种方式分析同一攻击树,从而创建出所需的详细漏洞图景。
考虑不同类型的攻击者也非常重要。之前的成本估算通常基于攻击者需要雇佣他人来执行各项任务的假设。但如果攻击者本身就是技术熟练的系统破解者,那么对每个节点的时间估算可能更有价值。所以,在建模时应尽可能考虑多种不同类型的攻击者,因为攻击树的创建既快速又容易,没有理由只进行一次建模。
2. 防御策略
威胁分析的核心目的是确定针对系统可能面临的各种漏洞所需的防御级别。一般来说,有三种主要的风险缓解手段:
-降低资产对攻击者的价值:关键在于降低资产对攻击者的吸引力,而非对其合法所有者和用户的价值。例如,加密就是一个很好的例子。如果正确使用电子邮件加密软件,之前针对 ABC 公司受困电子邮件系统的所有攻击将变得几乎无关紧要。因为经过有效加密(使用完善的加密软件、强密钥和密码短语)的被盗电子邮件,小偷无法读取;
