威脅建模

習題預習

1. 您如何确定您的应用程序会受到哪些可能的威胁以及针对这些威胁的最佳实践是什么？
2. 如何确定您的应用程序的数据存储和处理方案可能存在的安全漏洞，以及如何保护这些漏洞？
3. 您如何评估应用程序的身份验证和授权机制，以最大限度地减少攻击者利用这些系统的可能性？
4. 如何确定您的应用程序可能会受到社会工程攻击的影响，并采取措施防止攻击者获得潜在的敏感信息？
5. 您如何确保您的应用程序在可能受到攻击时具有足够的弹性和恢复能力，以便最小化风险并保护终端用户？

說明知識

威脅建模（Threat Modeling）是一種安全分析方法，用於檢測和評估系統和應用程序的安全性問題。它的目的是確定潛在的攻擊方式和漏洞，以及設計和實施適當的安全措施來保障這些系統的安全性。

簡單來說，威脅建模的過程包括以下幾個步驟：

1. 定義系統：確定系統的範圍、架構、功能和目標。

2. 收集信息：收集與系統有關的信息，如需求、設計文檔、代碼、文檔、用戶案例等。

3. 建立威脅模型：依據系統的結構和收集到的信息建立威脅模型。根據威脅模型和系統的目標，明確定義攻擊者的目的和攻擊向量。

4. 評估威脅：對每個威脅進行評估，確定威脅等級和潛在的影響。評估的結果將幫助確定哪些威脅需要優先解決。

5. 提出對策：基於威脅評估的結果，提出相應的對策，包括技術措施和管理措施。這些措施將有助於預防和減輕威脅的影響。

以下是一個簡單的例子，說明如何在威脅建模中確定威脅和措施：

假設一家銀行正在開發一個在線網銀應用程序，以方便客戶查看帳戶餘額、轉賬和付款等操作。該應用程序的威脅建模可能包括以下幾個步驟：

1. 定義系統：確定網銀應用程序的範圍、用戶、數據庫、Web服務器等。

2. 收集信息：收集與該應用程序有關的信息，如設計文檔、用戶需求、代碼等。

3. 建立威脅模型：基於系統和收集到的信息，建立威脅模型。考慮攻擊者可能使用的攻擊向量和攻擊工具，如SQL注入、XSS攻擊等。

4. 評估威脅：對每個威脅進行評估，確定其等級和可能造成的影響。例如，SQL注入可能導致客戶數據賊取、銀行業務不正常等問題。

5. 提出對策：基於威脅評估的結果，提出相應的對策。例如，使用參數化查詢防止SQL注入攻擊、強化身份驗證措施等。

綜上所述，威脅建模是一種很有效的安全分析方法，可以幫助開發團隊和管理層發現和解決系統設計和開發過程中的安全問題，在系統的整個生命週期中都有著很大的作用。

條列重點

1. 確認資源的價值：個人資料、敏感性資訊、財務資源等，公司內部可能需要識別重要的資源，以便針對性編製相應的保護措施。

2. 創建資源清單：識別並標識所有資源，並為每個資源分配評分，用於設計對策計畫。

3. 創建威脅模型：確定所有潛在的攻擊者和攻擊途徑。

4. 評估威脅和風險：按照最大可行威脅與最小可行風險估算風險和威脅嚴重性；設計各種安全保護措施以減輕風險所造成的影響。

5. 實施、測試和檢查威脅模型：實作安全保護措施，並對其進行測試；進行漏洞查找並改進安全保護措施。

6. 監控：不斷檢查威脅模型和安全措施的有效性；根據必要的變更進行重新審核和措施實施。

知識測驗

1. 請解釋什麼是疑似攻擊者？

答案：疑似攻擊者指的是可能有惡意的人或組織，可能會試圖利用或攻擊系統或應用程序，以獲取非法獲得或破壞數據的信息人員。

2. 在Threat Modeling中，什麼是威脅？

答案：威脅指的是任何可能導致系統或應用程序受到損害或攻擊的潛在風險或漏洞，例如安全漏洞、惡意軟件或黑客攻擊等。

3. 在Threat Modeling中，什麼是攻擊向量？

答案：攻擊向量指的是敵對者可以利用來攻擊某個系統或應用程序的方法或方式，包括使用軟件漏洞、網絡漏洞、惡意軟件等。

4. 在Threat Modeling中，什麼是數據完整性？

答案：數據完整性指的是確保信息和數據沒有被篡改、刪除或損壞，並且在傳輸和保留期間保持完整和準確的能力。

5. 在Threat Modeling中，什麼是風險評估？

答案：風險評估是評估系統或應用程序中潛在威脅和漏洞的過程，以確定哪些問題是最緊急需要解決的，並確定最好的解決方案來減少風險和提高安全性。