在实践中理解风险分析和威胁建模

Question

我正在研究云计算的安全性。

以下问题的目的是了解“风险分析”和“威胁建模”之间的关系：

1. 在建立威胁模型之前，我们通常会分析风险吗？
2. 对我来说，威胁建模的概念有点模糊。我能得到一个现有的威胁模型的例子吗？

Answer 1

这两个术语都很滑。

有多种风险分析方法，它们使用不同的词汇和不同的假设。公平和轮胎摇摆的类比是一个很好的介绍，如果你能找到托尼·考克斯的视频，那是另一个很好的来源。NIST 800-37是一种替代方法。OWASP还有另一个。

威胁建模正在经历一场复兴--我搜索了谷歌，找到了@Limit提供的OWASP链接(限制值得称赞，因为这是你最好的，第一个来源)和其他六个链接。但也有NIST威胁模型，还有一些人对妥协指标的等级结构进行了创造性的思考。(你必须搜索博客圈-- 布洛尔，OpenIOC，丘瓦金 --我找不到我想要的，它清楚地显示了一个层次图)。这里的总结是，我们正处于一个临界点--我们现在可以收集足够的数据并做足够的分析，利用威胁情报来实现安全方面的真正收益。十年前，威胁建模大多是理论性的，并没有产生那么强烈的影响。

就我个人而言，我首先做风险评估和分析，但在风险分析期间，我必须做一个初步的威胁模型。我的技术主管却恰恰相反，但他多年来一直在做先进的威胁建模。

我不能给你一个威胁模型的例子但是，如果您知道30%的恶意软件进入您的网络使用一个恶意软件工具集，您可以配置您的防御来利用这一点。或者，如果您知道在所有不同的恶意软件战役中，70%的恶意软件尝试作为有效载荷/任务，那么这将影响您如何投资和配置您的防御。威胁模型告诉你你的对手想要什么；如果你知道对手想要什么，你就有机会更有效地否定对手。

Answer 2

当我想到威胁建模时，我会想到四个问题:你在构建/部署什么；什么可能出错；你打算做什么；你做得好吗？

对我来说，风险分析通常是#3的一个有用的扩展:你打算对它做些什么，这些事情出错的可能性有多大？(你也可以把风险分析看作是考虑整体风险的一种方式，但我认为这是相当模糊的。)

所以你的问题是:不。在建立威胁模型之前，如果您试图进行风险分析，您将分析哪些风险？

他说:互联网上没有很多好的例子，但在我的书(威胁建模:安全设计)中有几个例子。各种预览网站，如谷歌图书或亚马逊，可能会或不可能给你足够的访问附录E，以满足你的需要。