威胁模型分析

于 2024-05-22 23:36:38 发布
阅读量457 收藏 18
点赞数 23
文章标签: 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkkzpp258/article/details/139131746
版权

序言

接近一个月没有更新学习心得了,最近一直忙于业务开发。在做项目时会涉及到维护整体架构的威胁建模,简单记录一下。

常见的网络威胁见链接:常见的网络威胁

威胁模型分析(Threat Modeling)

威胁模型分析是寻找系统潜在威胁以建立对抗的策略,以建立安全的系统。它属于资讯安全的议题,并将问题划分成“寻找针对特定技术的威胁模型”与“基于威胁模型建置更安全的系统”。

常见的威胁建模模型

  • STRIDE
  • PASTA
  • LINDDUN
  • CVSS
  • Attack Trees
  • Persona non Grata
  • Security Cards
  • hTMM
  • 威胁建模方法
  • Trike
  • VAST建模
  • OCTAVE

微软STRIDE模型

STRIDE即Spoofing Identify、Tampering With Data、 Repudiation、Information Disclosure、Denial Of Service、Elevation Of Privilege的缩写。STRIDE于1999年发明,并于2002年被Microsoft采纳,是目前最成熟的威胁建模方法。STRIDE随着时间的推移不断发展包括新的特定于威胁的表以及STRIDE-per-Element和STRIDE-per-interaction的变体。

威胁安全性属性
假冒(Spoof)认证(Authentication)
篡改(Tamper)完整性
否认(Repudiation)不可抵赖性
信息泄漏(Information Disclosure)机密性
拒绝服务(Denial Of Service)可用性
提升权限(Elevation Of Privilege)授权(Authorization)

在安全架构图中常见的一个词是信任边界(Trust Boundary),即数据流从一个区域流向另一个区域时是否存在安全风险。

STRIDE四元素

  • 外部实体:系统控制范围之外的用户、软件系统或设备
  • 处理过程:表示一个任务,一个执行过程,一定有数据流入和流出
  • 数据存储:数据库,文件,队列
  • 数据流:数据传输和转换

分析方式

  • 绘制流程图
  • 分析威胁
  • 评估风险
  • 指定消减措施
  • 落实消减措施

微软的Threat Modeling Tool

microsoft_threat-modeling-tool

威胁模型部分
在这里插入图片描述
模版部分
在这里插入图片描述
工具示例,
在这里插入图片描述
分析威胁
在这里插入图片描述

威胁建模的主要步骤

  • 确定系统边界:确定系统或应用程序的范围和边界。

  • 收集信息:收集有关系统和应用程序的信息,包括设计文档、代码、配置文件、数据流图等。

  • 识别威胁:通过威胁建模工具和方法来识别威胁,例如数据泄露、身份验证漏洞、拒绝服务攻击等。

  • 评估威胁:对识别的威胁进行评估,包括威胁的可能性和影响程度。

  • 制定安全措施:制定相应的安全措施来降低系统或应用程序的威胁风险,例如加强身份验证、实施访问控制、加密数据等。

参考链接

1、知乎——关于网络安全威胁建模的12种方法介绍
2、Software Security | Trust Boundary Violation
3、microsoft_threat-modeling-tool

四问四不知
关注
  • 23
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ATF(TF-A)通用威胁模型-安全检测与评估
security²-卢鸿波-安全二次方
04-12 749
本文档提供了TF-A固件的通用威胁模型。在该威胁模型中,评估的目标是A系列处理器的可信固件(TF-A)。这包括引导ROM (BL1)、可信引导固件(BL2)和运行时EL3固件(BL31)。对14类威胁模型进行详细分析,并对TF-A可能涉及的威胁进行检测和评估(每个威胁都有一个风险评级,代表了该威胁的影响和可能性),并给出可能的防护建议。
基于UML模型的NGN业务安全分析
02-27
火龙果软件工程技术中心  相比传统的电信网,NGN面临着众多的安全威胁,NGN的业务安全也面临着巨大的挑战。业务的开发和部署需要考虑到更多的安全特性和安全功能。利用UML安全扩展UMLsec对NGN中的业务安全需求进行分析建模,提出了一种细粒度的安全需求分析方法,通过抽象出安全功能抽象类说明NGN业务的安全特性需求。并通过用例讨论了基于安全应用接口的安全需求实现,使得各种安全特性能够更方便、更灵活地集成到业务中。下一代网络(NGN)是基于分组网络的、多业务融合并开放网络能力的电信网络。其基于分组交换的核心网络为业务融合提供了传输基础设施;其网络能力的开放提高了业务的扩展性,为第三方业务提供者进
安全分析模型 HEAVENS
09-22
安全分析模型 HEAVENS。 This deliverable (D2 Security models, Release 2, Version 2.0) presents the results and achievements of work package WP2 (Security models) of the HEAVENS project.
威胁同源关联分析.pdf
08-08
基于威胁同源关联分析模型,需对威胁情报中心进行优化,内置威胁同源关联分析算法,以支撑相关分析工作。基于情报的威胁同源关联分析技术核心在于对威胁源的标签化画像。对看似不同源的多个安全威胁,通过画像标签的深度关联,来挖掘和判断其之间的关联关系,实现不同威胁线索的串联。
数据分析模型.pptx
12-23
销售数据 分析模型 数据分析/ 2011/8/29 数据分析模型全文共15页,当前为第1页。 主线&指标 分析思路 整体分析 分析方法 目录 CONTENTS 数据分析模型全文共15页,当前为第2页。 分析主线 分析销售数据通常是从产品、区域、客户三条主线来研究。 区域 哪个区域需要重点巡查? 产品 哪个产品需要重点管理? 客户 哪个重点经销商的业绩不正常? 研究 主线 数据分析模型全文共15页,当前为第3页。 数据指标分解 当日整体业绩 关键数据: 当日业绩达成率 销售数据构成分析 实际操作意义: 跟进弱势区域 跟进弱势产品 实时掌握销量 1 累计业绩达成 2 发货情况 3 销售质量 4 关键数据: 月累计业绩达成"进度要和时间进度对比 档期任务达成 注意: 特殊时段任务档期管理 关键数据: 发货客户数量 发货次数 重点关注: 当月前15天上面两项数据情况 下半月及时跟进 关键数据: 产品结构 区域结构 重点客户和渠道结构 衍生指标: 平均价 重点产品占比率 销售数据 数据分析模型全文共15页,当前为第4页。 分析步骤 整体销售分析 1 区域分析 2 产品线分析 3 价格体系分析 4 销售数据总结及建议 5 销售额/销售量、季节性分析、产品结构、价格体系 产品(系列)结构分布、产品—区域分析 价格体系构成、价格-产品分析、价格-区域分析 区域分布、重点区域分析、区域销售异动分、区域—产品分析 数据分析模型全文共15页,当前为第5页。 整体销售分析 2 3 季节因素 产品线 价格体系 4 1 销售额/销量 通过总体产品结构分析,了解整体产品结构分布和重点产品表现 通过总体价格结构分析,了解企业的优势价位区间,提供价格结构调整的合理性建议 依据行业销售淡旺季规律,与销售数据中的销售行程进行对比,分析淡旺季发展规律;可以为客户提供渠道压货规划及生产运做规划 分析近几年的总体销售额、销售量,与行业标准相比较。从而分析企业的业绩状况并判断企业的业绩变化类型 数据分析模型全文共15页,当前为第6页。 区域、产品、价格分析 分析企业的销售区域及各区域的表现,检索重点区域、发现潜在市场,提出下阶段区域布局策略 对重点区域的营销状况予以重点分析,解析该区域的发展走势和结构特点,为未来在重点区域的发展提供借鉴 对增长或者下跌明显的区域予以重点分析,总结经验教训,以期避免潜在的威胁或者抓住机会 将重点区域中的产品结构进行时间上的横向对比,进行多要素复合分析 区域布局 分析产品系列和单产品结构分布,检索重点产品发展趋势及新产品的市场表现 针对重点产品进行分析,发现存在的问题,提供产品改进意见 通过对产品的销售区域分布的分析,区分战略性产品/战术性产品、全国性产品/区域性产品,为产品线的划分和进一步细化提供参考 产品线 分析企业的销售区域及各区域的表现,检索重点区域、发现潜在市场,提出下阶段区域布局策略 对重点区域的营销状况予以重点分析,解析该区域的发展走势和结构特点,为未来在重点区域的发展提供借鉴 对增长或者下跌明显的区域予以重点分析,总结经验教训,以期避免潜在的威胁或者抓住机会 将重点区域中的产品结构进行时间上的横向对比,进行多要素复合分析 价格体系 数据分析模型全文共15页,当前为第7页。 整体销售分析 通过对销售额和销售量的增长趋势的把握,可以找出客户增长或下滑的本质;如销售额增长大于销售量增长,说明增长主要来源于产品平均价格价格的提高,它反映了市场平均价格的提高或者是客户产品结构升级,即结构性增长;反之,为容量性增长。 很多的消费品行业存在明显的季节性趋势;根据行业规律,为企业提出生产运做及渠道供货的的合理性规划 销售额/销售量 1 季节性分析 2 数据分析模型全文共15页,当前为第8页。 整体销售分析 产品结构 3 价格体系 4 从产品结构看主导产品和产品成长合理性,企业的利润源和销售量是否对应,初步判断企业未来产品规划的调整方向。 从价格结构看产品分布合理性,也可以判断目前企业现状与企业的战略发展方向是否一致; 数据分析模型全文共15页,当前为第9页。 整体销售分析 区域分布 5 区域销售异动 6 企业的销售区域分布看企业市场分布的合理性;企业区域布局与整体战略目标的一致性;明确下阶段企业区域布局的规划方向; 通过对数据的分析,发现存在异动的产品或区域;并分析异动发生的原因; 数据分析模型全文共15页,当前为第10页。 整体销售分析 从区域内的产品动态来看区域内产品的组成变化,即区域的产品适应性,从而发现潜力产品、老化产品等。 区域-产品分析 7 价格-区域分析 8 从区域的价格分布来看产品的提升空间,即不同区域的价格构成合理性,从中分析市场提升的空间和方向。 数据分析模型全文共15页,当前为第11页。 具体分析方法 数据分析的目的是为
论文研究-结合网络层次分析法的云推理威胁评估模型.pdf
07-22
针对传统的威胁评估方法存在指标数据冗余、指标权值设置合理性、推理有效性等问题,建立结合网络层次分析法的云推理威胁评估模型,能够合理精简指标,有效优化推理规则。将该模型用于目标识别系统的威胁评估,首先给出威胁评估指标,用网络层次分析法精简指标并得到规范化权值;构建指标云模型,将规范后的指标数据输入前件云发生器,建立推理规则库,引入分级结构简化规则数,运用加权扎德算子实现规则的合成,将合成结果输入后件云发生器得到威胁度云滴,经多次重复操作后,处理数据得到系统威胁度。最后,以实例说明方法的有效性。
商业分析模型讲解.ppt
10-09
SWOT & ECIRM模型是企业内部和外部环境分析工具,SWOT分析模型可以帮助企业identify自己的优势、劣势、机会和威胁,从而制定相应的企业战略。ECIRM模型则是企业策略管理的五个维度,包括产业型公司、资本型公司、...
常用数据分析模型详解.docx
03-19
常用数据分析模型详解 数据分析模型是企业管理中非常重要的一部分,它能够帮助企业决策者更好地分析和理解企业的经营管理状况,从而制定更明智的决策。本文将对常用的数据分析模型进行详细的解释,以帮助读者更好地...
威胁模型Threat Model
一杯咖啡的渗透记忆
04-26 1014
威胁建模是识别资产、资产漏洞以及资产如何面临威胁的过程。它是一种结合了各种安全活动的战略方法,例如漏洞管理、威胁分析和事件响应。安全团队通常会执行这些练习,以确保其系统得到充分保护。威胁建模的另一个用途是主动寻找降低任何系统或业务流程风险的方法。但是国内企业安全这块,基本没有关于威胁建模相关的应用和实际。很大程度上后期直接进行安全测试,连前期的安全设计和安全编码都不存在。说多了,这篇博客注意介绍国外大企业在安全开发生命周期中普遍会使用到的安全模型或者说安全建模。传统上,威胁建模与应用程序开发领域相关。
常用数据分析模型
Yating260的博客
08-15 1349
常用数据分析模型AARRR模型(海盗/漏斗模型)AARRRRARRARFM模型5W2H模型A/B测试模型逻辑树模型生命周期模型企业战略模型SWOT模型PEST模型波特五力模型 本文为转载,原文出处为常用数据分析模型- 栖迟于一丘,如有侵权,立刻删除 模型是指对于某个实际问题或客观事物、规律进行抽象后的一种形式化表达方式。 要进行一次完整的数据分析,首先要明确数据分析思路,比如从那几个方面开展分析,各方面都包含什么内容或指标,有了整体的框架,才能更好地开展业务。 在日常的数据分析中,常用的有10大模型:AAR
HSSEDI 构建可用的高级威胁模型
qq_35388992的博客
08-25 1426
HSSEDI(美国国土安全系统工程与开发研究所)基于调研分析的基础上,着手构建了一个高级的适合多种场景的威胁模型。不同级别的威胁建模组合方法所调查的单个模型框架都难覆盖全部用途或范围,所需的威胁建模框架应可以在多个尺度上使用,并针对不同的目的进行定制,NGCI Apex的主要思路是通过两个不同的活动线程来构建,网络技术的转换及增强的网络攻防演练。图:NGCI Apex网络威胁模型的使用方法因此,高级别威胁模型,应支持技术的探寻、高级别或部门范围的风险评估或一般事件的网络推演;...
威胁建模分析
走在成功路上的博客
05-15 1606
1. 前言 有一段时间没更新了,跟新一下之前的技术文档,直接上干货不讲废话。 2. 威胁建模: 每个步骤列出来,功能列出来,这个功能可能会干什么事情干了这个事情会发生什么潜在威胁。 将每个参数及分析,如果不清楚就去建模进行分析过程。 3. 分析路由: 判断关键参数: C/S之间交互 越权控制参数—> 越权 token之类的检验参数—> CSRF 还有很多潜在风险比如业务功能可能存在的风险隐患都需要考虑进去,以上只是做个简单的栗子。 下图是针对于任意密码修改做的一个威胁建模
强敌环伺:金融业信息安全威胁分析——整体态势
AKAMAI_CHINA的博客
01-29 1044
在Web应用程序和API攻击、零日漏洞以及DDoS攻击等方面,金融服务业一直是最主要的三大被攻击目标垂直行业之一。金融服务业的Web应用程序和API攻击数量同比激增3.5倍,在所有主要行业中增速最快。如何阻止Web应用程序和API攻击利用新发现的零日漏洞针对金融服务业发起的攻击,在24小时内就可以轻松达到每小时数千次的规模,并且会快速达到峰值,这使得防御者几乎没时间打补丁或做出反应。
国内移动端APP月活跃(MAU)Top5000 数据整理
06-16
国内移动端APP月活跃(MAU)Top5000 时间范围:2020年-2022年 具有一定参考价值 csv格式
和平巨魔跨进成免费.ipa
最新发布
06-16
和平巨魔跨进成免费.ipa
数据库管理工具:dbeaver-ce-23.0.4-macos-aarch64.dmg
06-16
1.DBeaver是一款通用数据库工具,专为开发人员和数据库管理员设计。 2.DBeaver支持多种数据库系统,包括但不限于MySQL、PostgreSQL、Oracle、DB2、MSSQL、Sybase、Mimer、HSQLDB、Derby、SQLite等,几乎涵盖了市场上所有的主流数据库。 3.支持的操作系统:包括Windows(2000/XP/2003/Vista/7/10/11)、Linux、Mac OS、Solaris、AIX、HPUX等。 4.主要特性: 数据库管理:支持数据库元数据浏览、元数据编辑(包括表、列、键、索引等)、SQL语句和脚本的执行、数据导入导出等。 用户界面:提供图形界面来查看数据库结构、执行SQL查询和脚本、浏览和导出数据,以及处理BLOB/CLOB数据等。用户界面设计简洁明了,易于使用。 高级功能:除了基本的数据库管理功能外,DBeaver还提供了一些高级功能,如数据库版本控制(可与Git、SVN等版本控制系统集成)、数据分析和可视化工具(如图表、统计信息和数据报告)、SQL代码自动补全等。
【课件】8.4.1简单选择排序.pdf
06-16
【课件】8.4.1简单选择排序
写的一个静态网站随便写的
06-16
写的一个静态网站随便写的写的一个静态网站随便写的写的一个静态网站随便写的写的一个静态网站随便写的写的一个静态网站随便写的写的一个静态网站随便写的写的一个静态网站随便写的
Java项目-基于SSM+JSP的教学质量评价系统的设计与实现(源码+万字LW+部署视频+代码讲解视频+全套软件)
06-16
【基于SSM+JSP的教学质量评价系统的设计与实现】高分通过项目,已获导师指导。 本项目是一套基于SSM+JSP的教学质量评价系统,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的Java学习者。也可作为课程设计、期末大作业 包含:项目源码、数据库脚本、开发说明文档、部署视频、代码讲解视频、全套软件等,该项目可以直接作为毕设使用。 项目都经过严格调试,确保可以运行! 项目详情: https://blog.csdn.net/u011832806/article/details/139522897
用SWOT分析模型分析腾讯
04-20
SWOT分析模型是指对一个事物的优劣势和机会威胁进行分析,评估其当前的竞争力和未来的发展趋势。 腾讯作为中国最大的互联网公司之一,具有以下优劣势和机会威胁: Strengths(优势): 1. 丰富的互联网产品线:腾讯...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值