当被问及“我们应该捍卫什么,”决策者的共同回应是“一切,”在隐性逻辑下运作,如果存在威胁,为什么地球将不是组织对抗它?首先,因为该安全策略的成本曲线倾向于指数。其次,因为威胁不是威胁,除非它是对你的威胁。p撇子气隙跳跃者和Gamera都存在潜在的灾难性安全威胁,但并不是所有这些威胁都是针对我们所有人的。所以,当我们在为一个安全的网络分配时间、精力和资金时,我们该如何决定对哪条可怕的新闻做出反应,以及将哪条新闻归为“有趣但不相关”?这就是威胁建模的用武之地。

来自维基百科:“威胁建模是一种过程,可以识别,枚举和优先考虑潜在的威胁 -这一切都是从假想攻击者的角度出发的。[强调矿业]威胁建模的目的是为捍卫者提供对可能的攻击者的档案,最可能的攻击向量以及攻击者最受欢迎的资产的系统分析。“

最重要的短语是“从假设的攻击者的角度”。不是所有的攻击者都有相同的目标,也不是所有的网络都吸引相同的攻击者。如果你没有特斯拉,你就不必为最近的黑客攻击辩护中国研究人员。容易。但谁是你的攻击者,他们想要什么?这是事物毛茸茸的地方。捍卫者倾向于养成对攻击者自己的个性和动机特征的习惯。例如,破坏性恶意软件被视为不现实,因为威胁演员会从中获得什么?它不太可能,直到它不是。

我们喜欢做的另一个常见错误是假设威胁演员的动机是不可知的,因此他们只是混乱的代理商机会地突然出现,而罪犯没有任何合理的动机。这是一个愚蠢的,因为每个人都包括黑客,以满足理性的动机的方式行事给他们。我们可以短路这种认知错误,具有自由态度的同情或想象攻击者需要哪些动机,使我们的网络成为有吸引力的目标。每次黑客都进行瞄准,例如:

  • 恶意软件将根据地理定位过滤
  • 网络钓鱼会模仿一家金融机构而排斥其他金融机构吗
  • 商务邮件的妥协只针对一名高管,其他人则被排除在外

这些可观察到的事实证明,在威胁演员的结束时有针对性的决定。人们并不总是意识到的是,这些决定是一种弱点 - 他们背后黑客的动机和优先事项。我们可以使用它们来构建威胁模型和东方防御。

在互联网上有很多很多的威胁模型,以及关于如何将它们应用到您的组织的大量文档。大多数设计用于绘制数据流、确定组织流程中的软点,并根据可能的攻击者的特定类型及其确定的动机分配缓解措施。这些模型很棒,很全面,而且从来没有人用过。原因如下:

shutterstock_128927741-680x400.

他们往往是这样的。没有人喜欢看这个。组织决策者尤其不喜欢看这个。

在线提供的大多数威胁模型进程在技术上都是正确的,但仍然是错误的,但仍然是错误的,因为它们忽略了系统中的人为因素 - 即,他们的正确思想中没有人想要阅读超过三页滚动的Visio图。所以这些东西有习惯吃巨大数量的SoC小时,只是在演讲后不久被搁置,从未被重新审视。那么我们如何评估威胁并让人听我们?我们问一个问题:

谁是我们的攻击者,他们想要什么?

这是一个简单,可访问的问题,需要最少的技术专业知识来有效地回答。如果您是政府,您的攻击者是摘要他们想要可行动的战略情报。如果您不是一个政府或政府承包机构,那么减少APT攻击而不是在异地备份上花钱似乎有点愚蠢,因为您是在防御别人的威胁。如果你的公司没有评估自身威胁的习惯,那么大型安全厂商每年都会发布我们都面临的一般威胁(无耻地为我们自己的数据做宣传)这里).

关于对组织的威胁建模的假设是很容易的,所以让我们通过三个过去的威胁案例研究来深入研究一些实际的例子。

案例研究:Mecha Godzilla

Super-mechagodzilla_head_at_abeno_harukas_art_museum_august_31_2014_01

MECHA GODZILLA由日本军队建造的,以防止东京抵御哥斯拉疫苗。Mecha Godzilla由重型水核反应堆供电,可以消防导弹,以及从眼睛的能量束。

  • 目标:东京地区的哥斯拉和二级突变的动物
  • 动机:捍卫城市
  • 次要影响:公共基础设施破坏
  • 最后的威胁概要:Mecha Godzilla不会对网络安全组织构成直接威胁,而这些组织也不是Godzilla。可以通过更新组织弹性计划来减轻次要影响。

案例研究:Gamera

1024年px-gamera_in_hamajima

Gamera是一只巨大的变异海龟,它可以用两条腿走路和飞行。它能喷火,发射火球,以石油产品为食。它冷到虚弱。

  • 目标:能源,火,原油
  • 动机:以能量为食,寻找其他同类
  • 次要影响:公共基础设施受损,能源成本增加,航空运输中断
  • 最终威胁简介:Gamera对能源部门的组织带来了直接,重大威胁。不可再生能源公司应将Gamera缓解转移到关键优先事项。长期缓解可以包括多样化进入可再生能源。不在能源部门的组织应以组织恢复力计划的形式实施Gamera缓解,限制非必要的航空旅行和维护次要电源的关键基础设施。

案例研究:赛昂

105091321 _6bbb2cf7c2_z

整套是合成的人形,猛烈地反抗人类并有一个未指明的计划,可能是为了报复。已知整套直接攻击人类,但也非常熟练地利用间谍软件,破坏性恶意软件和数据exfiltration的网络攻击。杀死所有人类的强大动机,结合了一流的数据备份流程,限定了充满了先进的持久威胁。

  • 目标:所有人类
  • 动机:复仇,宗教和自我实现
  • 二次影响:过度网络分割可能导致有针对性组织体验数据管理效率的标记下降。
  • 最终威胁简介:随着网络渗透的不分青红皂白,长期尝试,Cylonon是一种高级持久威胁组,具有不分青红皂白定位的倾向,网络渗透的长期尝试。在社会工程方面的技术方面,随着攻击人类向量,已经看到了整个安全控制。整套是对由人类组成的组织的关键,高优先级威胁,并要求在深度融合防御的缓解。

所有这些案例研究的共同因素是它们都评估了攻击者的观点。如果威胁演员说明杀死所有人类的动机,我们应该在面值并相应实施减轻。如果威胁演员指出了采取国际银行系统的动机,我们也以面值为止,无论他们实现这一点的实际能力如何。动机可能无法预测攻击的后果,但它们确实能告诉我们攻击可能的样子。

关于威胁建模的一些最后一条外带:

  1. 倾听你的威胁演员。不管你是否知道他们是谁,你都很清楚他们想要什么。

  2. 防御你的威胁,而不是别人的。

  3. 以人类可读形式的决策者传达您对决策者的威胁,而不是难以合行的图表。

如果您想要一个特殊的文章,请介绍正式建模的理论和实践,请退房:

游击队威胁建模

此视频无法显示,因为您的功能饼干目前已禁用。

要启用它们,请访问我们的隐私政策并搜索cookie部分。选择“点击这里”打开隐私首选项中心并选择“功能饼干”在菜单。您可以将选项卡切换回“积极的”或通过移动标签来禁用“不活跃。”点击“保存设置。”