微软最早提出的STRIDE安全建模方法的,STRIDE的含义为:
STRIDE 威胁,代表六种安全威胁:身份假冒(Spoofing)、篡改(Tampering)、抵赖(Repudiation)、信息泄露(Information Disclosure)、拒绝服务(Denial of Service)、特权提升(Elevation of Privilege)。
身份假冒(Spoofing)
身份假冒,即伪装成某对象或某人。例如,我们通过伪造别人的 ID 进行操作。
篡改(Tampering)
篡改,即未经授权修改数据或者代码。例如,我通过网络抓包或者某种途径修改某个请求包,而服务端没有进行进一步的防范措施,使得我篡改的请求包提交成功。
抵赖(Repudiation)
抵赖,即拒绝执行他人无法证实也无法反对的行为而产生抵赖。例如,我攻击了某个产品,他们并不知道是我做的,没有证据证明是我做的,我就可以进行抵赖,换句话说,我可以死不承认。
信息泄露(Information Disclosure)
信息泄露,即将信息暴露给未授权用户。例如,我通过某种途径获取未经加密的敏感信息,例如用户密码。
拒绝服务(Denial of Service)
拒绝服务,即拒绝或降低有效用户的服务级别。例如,我通过拒绝服务攻击,使得其他正常用户无法使用产品的相关服务功能。
特权提升(Elevation of Privilege)
特权提升,即通过非授权方式获得更高权限。例如,我试图用管理员的权限进行业务操作。
安全要素
为了防范上面的 STRIDE 威胁,我们需要采用一些防范措施。
威胁 安全要素 消减技术
身份假冒 认证 Kerberos、SSL/TLS、证书、认证码等
篡改 完整性 访问控制列表、SSL/TLS、认证码等
抵赖 非抵赖/审计/记录 安全审计和日志记录、数字签名、可信第三方
信息泄露 保密 加密、访问控制列表
拒绝服务 可用性 访问控制列表、过滤、配额、授权
特权提升 授权 访问控制列表、角色控制、授权
下图对这六项信息各自进行了距离:
属性 | 威胁 | 定义 | 例子 |
---|---|---|---|
认证 | Spoofing(假冒) | 冒充某人或某物 | 假冒billg、microsoft.com或ntdll.dll |
完整性 | Tampering(篡改) | 修改数据和代码 | 修改一个DLL,或一个局域网的封包 |
不可抵赖性 | Repudiation(否认) | 宣称未做过某个行为 | “我没有发送email” “我没有修改文件” “我肯定没有访问那个网站” |
机密性 | Information Disclosure(信息泄露) | 暴露信息给未经授权的访问者 | 允许某人阅读Windows源代码;将客户列表发布在网站上 |
可用性 | Denial of Service(拒绝服务) | 使对服务对用户拒绝访问或降级 | 发送数据包使目标系统CPU满负荷或发送恶意代码使目标服务崩溃 |
授权 | Elevation of Privlege(权限提升) | 未经授权获取权限 | 远程用户执行任意代码,普通用户可以执行管理员私有的系统指令 |
---------------------------------------------------------------------------------
使用数据流关系图(DFD)来辅助STRIDE分析,将系统分解成部件,并证明每个部件都不易受相关威胁攻击。DFD正确是确保威胁模型正确的关键所在。FDF包含如下元素:
数据流:通过网络连接,命名管道,RPC通道等移动的数据。
数据存储:表示文件,数据库,注册表项以及类似项。
进程:计算机运行的计算或程序。
交互方:系统的端点,例如人,web服务器和服务器。
信任边界:表示可信元素与不可信元素之间的边界。
在应用STRIDE进行威胁建模分析时,需要注意的问题点:
1、客户可能从来不会明确提出某些安全性的要求,因此,设计人员必须找到问题描述中内在的安全性要求。
2、不仅必须从一个攻击者的角度来看待风险问题,还必须“同时”从所有的攻击者的角度来全盘考虑安全问题。
3、DFD是否切合实际的常规判断依据:
第一,数据不是凭空臆造的,确保对于每个数据存储,都有读取者或写入者。
第二,注意数据传输过程的灵魂作用,确保始终有一个进程读取和写入数据。
第三,将单个信任边界内的相似元素收缩为单个元素,以便于建模。
第四,注意信任边界任一侧的建模细节,尝试显示更详细的信息。
4、信任边界的真正定义——不相信另一端的任何事物。
5、你根本想象不到其他人为何需要你的数据,你只需认为有人需要你的数据。
6、你与客户相距越远,就越难以知道客户对于不同风险的承受程度。不要对客户的情形或风险承受程度做过多的假设。
7、攻击者可能是内部人员,而不是外部人员。他们可能具有合法的访问权限,可以访问数据库以完成自己的工作。
8、针对每个威胁和DFD中的每个元素进行分析:针对所有数据流和数据存储解决了篡改、信息泄露和拒绝服务威胁;针对所有进程解决了所有STRIDE威胁;针对所有交互方解决了假冒和否认威胁;并解决了影响信任边界的独特威胁。
9、STRIDE模型很好的一点在于,它能让你洞察你所需的抑制措施的本质。
10、使用预构建的威胁树可以确保不会忽略已知的攻击。
---------------------