本节书摘来自华章计算机《威胁建模:设计和交付更安全的软件》一书中的第二部分,作者:[美] 亚当·斯塔克 更多章节内容可以访问云栖社区“华章计算机”公众号查看。
第二部分 Part 2 发 现 威 胁
- 第3章 STRIDE方法
- 第4章 攻击树
- 第5章 攻击库
- 第6章 隐私工具
威胁建模的核心是威胁。
发现威胁有多种方法,这些方法就是第二部分的主要内容。每种威胁发现方法都各有优缺点,不同情况下可以使用不同的方法。本部分介绍的每种方法都可以看作一个乐高积木,在四步框架的第二步中,你可以用一种方法替代另一种方法。
威胁建模方法与其他建模方法最大的不同是,它关注哪些方面可能出现安全问题。本部分中提供的模型,通过将威胁抽象化,来进一步帮助你思考这些安全问题。模型(例如攻击库)越具体,对刚开始学习威胁建模的人越有帮助(也就是说没有那么多自由发挥的空间)。随着你的经验越来越丰富,类似STRIDE这样结构化程度较低的建模方法就会更有用。
在第二部分中,你将学到以下寻找威胁的方法。
- 第3章介绍在第1章中提到的助记符STRIDE方法及其变形。
- 第4章介绍的攻击树有助于梳理系统可能受到的攻击,也可以帮助人们以结构化方法思考威胁。这两种情况都会在这章介绍。
- 第5章介绍的攻击库是为追踪威胁和整理威胁信息而构建。对安全或威胁建模方面的新手来说非常有用。
- 第6章介绍了一些寻找隐私威胁的工具集。
第二部分介绍的是四步框架中的第二个问题:哪里可能出错?所以在开始阅读本部分前,你可能需要回忆一下第一部分内容,首先,你应该有一个范围的概念:在何处寻找威胁?图表可以帮助你确定威胁建模的范围,例如第一部分提到的数据流图表,这是威胁建模最佳的输入条件。不过,在讨论威胁的时候,你可能会发现图表内容有欠缺,所以在开始寻找威胁之前没必要“完善”图表。