前沿思考 | 5G時代,網絡安全威脅建模的“道”與“術”

發布時間 2020-12-10

威脅建模作為5G時代網絡安全實踐的起點,與傳統的威脅建模有何異同?一起來看啟明星辰專家團專家們如何解讀其中的“道”與“術”。


當前,我們正處于數字經濟轉型和不斷升級的時代,5G成為萬物互聯的紐帶和融合創新的驅動力,5G網絡的這些特點和業務屬性決定了其安全的必要性和重要性,網絡安全威脅建模是進行網絡安全最佳實踐的起點和重要環節。本文一方面介紹了業界成熟的威脅建模方法的6個步驟,另一方面闡述了如何將此方法應用于5G網絡威脅建模的具體實踐。


5G網絡安全,是我們共同面臨的全球性問題


5G網絡采用基于服務的架構SBA,基于云原生(Cloud Native)、用戶平面和控制平面解耦,具有云化、軟件定義、可編程和服務能力開放的特點。5G網絡在造福社會、撬動社會變革的同時,也引發了新的網絡安全風險,5G 網絡安全成為我們共同面臨的全球性問題。


網絡安全建設的第一步就是需要明確其面臨的威脅和風險,而威脅建模是識別和梳理威脅的成熟做法。因此,需要利用威脅建模的方法和工具,緊密結合5G網絡新業務、新架構、新技術和豐富的場景,全面地進行5G網絡安全威脅建模工作,詳細地梳理威脅,完整地展現5G網絡所面臨的威脅面和入侵面。


業界成熟的STRIDE-LM威脅建模方法


威脅建模是對網絡入侵者采取主動積極防御的一項工程方法,是網絡安全最佳實踐工作的起點和關鍵階段。威脅建模讓安全專家站在入侵者角度思考問題,并更好地了解如何訪問網絡和系統,使我們可以清楚地預見其破壞面,并繪制出系統可能包含的不同威脅、入侵、漏洞和對策,從而采取積極防御、主動防護、有理有據的風險管理策略。


微軟開發的STRIDE模型考慮了多種威脅類型的影響,在分析活動中,結合威脅情報、資產、入侵面等多種因素,綜合考慮各種威脅及其原因和結果。為了能夠更全面地發現并描述威脅和入侵目標的原因、路徑和結果,需要分析入侵鏈的上下文。這里增加一種附加的威脅類型:橫向移動(lateral Movement, LM)形成STRIDE-LM模型。STRIDE-LM威脅建模方法是一個不斷迭代不斷循環的動態方法,核心流程包括如下6個步驟,一是識別資產,二是識別威脅參與者或威脅因素,三是分解系統定義入侵面,四是威脅行為分類,五是威脅評估和評價,六是威脅控制措施。如圖所示:


1.png

威脅建模方法論(Threat Modeling Methodology)


1、識別資產,梳理資產臺賬,明確威脅對象和保護對象


信息資產作為對組織具有價值的信息或資源,是安全策略保護的對象,需要梳理清楚,記錄資產類型,形成資產臺賬,并指定這些資產在系統或環境中位置,并且隨著業務應用的變化而動態更新。針對所識別出的資產,建立對于入侵行為的初步認識。


2、列出威脅因素


確定要入侵該系統的實體以及原因,包括動機、技能水平、資源和目標等特征,并將這些因素一一列出。結合威脅情報,考慮不同的威脅參與者類型將如何破壞目標資產。


3、分解系統,定義入侵面


建立了業務架構和技術架構的全貌之后,梳理業務邏輯、服務對象、邊界,并基于所收集的信息將應用程序、系統、環境、組件分解為分層視圖。在整體視圖上映射與之通信的應用程序、系統等元素,然后定義入侵面。入侵面將幫助定義系統和信任邊界,輸出文檔化的入侵面定義,利用文檔化的入侵面和分解的系統以及主要用例來記錄入侵路徑,捕獲這些路徑中包括的功能組件、信任域和信任邊界,包括現有的安全控制和服務。同時考慮相同路徑上可能存在的多種入侵方法,這些路徑包括物理路徑和邏輯路徑。在這個階段,通常會生成數據流程圖(Data Flow Diagram)或一組DFD。


4、威脅行為分類,使用適合于系統和組織的分類法對威脅進行分類。


對威脅進行分析和分類,確保充分理解每種威脅的原因。


根據資產性、威脅發生的可能性,結合威脅情報等因素對威脅所帶來的風險嚴重性進行評估、比較,確定優先級排序。


5、威脅控制措施


威脅建模的最后一個階段是選擇和實施安全控制措施,以緩解、消除或控制在軟件開發或工程工作中發現的威脅,并評估現有控制措施的有效性。威脅控制措施的選擇和實施效果評估的控制功能包括收集、檢測、防護、管理和響應5個環節,將這5個環節的工作進行迭代和循環使用,直到能夠接受殘余風險。


最后,通過考量人員、流程和技術多個維度差距來實施威脅控制措施,同時對這些差距的識別可以增強對潛在風險項目的認識與理解,從而轉化為全面風險管理的源動力。


基于STRIDE-LM的5G網絡安全威脅建模


遵循STRIDE-LM威脅建模方法論6大階段的關鍵動作對5G網絡實施威脅建模,下面進行詳細地闡述。


1、識別資產


資產是對組織具有價值的信息或資源,是安全策略保護的對象。除了對組織有價值之外,資產還有助于履行法律義務。在5G網絡中,資產包括但不限于如下幾種:


a)硬件,軟件和通信組件

b)通信鏈接

c)控制系統功能,由系統產生和/或使用或在系統內部流動的數據

d)5G系統的物理基礎架構

e)與系統交互并可能影響其操作的人員(例如,用戶,系統管理員等)


由于其價值,數字資產成為威脅行為者的目標,5G資產分為兩大類:


2.png

識別資產(Identity Assets)


2、識別威脅因素


威脅可以通過威脅主體、資源、動機、途徑等多種屬性來描述,造成威脅的因素可分為人為因素和環境因素。威脅作用形式可以是對信息系統直接或間接的入侵,可能是偶發的或蓄意的事件,對機密性、完整性或可用性等方面造成損害。


5G網絡的威脅參與者分為兩大類:


3.png

威脅參與者(Threat Vectors)


5G網絡面臨的威脅是4G網絡威脅和5G自身新威脅的累加。


4.png

5G網絡威脅(5G Cyber Threats)


3、定義入侵面


5G網絡的暴露范圍會隨著所承載的垂直行業的變化而越來越大,關鍵資產的數量因新業務而激增,入侵面也會因此變的動態而擴大。


分解5G網絡結構,將入侵面梳理清楚就變得尤為重要。基于5G網絡結構整體視圖,繪制用例或用例集的數據流程圖DFD,同時,結合威脅和威脅情報逐步得到5G網絡的入侵面。


5.png

5GDFD和入侵面(5G DFD and Attack Surfaces)


4、威脅分類


這里以STRIDE-LM模型作為威脅行為分類的依據,具體如下表所示。


表.1-威脅,安全屬性和控制措施(Tab.1-Threat Categorization, Security Properties)

6.png


根據表1,可以梳理出5G網絡威脅分類的完整列表,樣例如表2所述:


表.2-5G威脅威脅分類,安全屬性(Tab.2-5G Threat Categorization, Security Properties)

7.png


5、威脅評估和評價


根據威脅造成的危險對其進行評價,這樣就能夠優先解決最大的威脅,其次再解決其它威脅。實際上,解決所有找出的威脅幾乎是不可能的也不必要,關鍵是要有決策依據而忽略掉一些,因為它們發生的機會很小,即使發生,帶來的損失也很小,可以接受殘余風險。


現在,我們可以將單個事件的損失(SLE)與事件發生可能性(ARO)結合起來,以獲得年度預期損失(ALE)。


ALE表示針對特定資產的給定威脅多年以來的年平均損失,其公式為:SLE *ARO = ALE

潛在損失*發生的可能性=預期損失(危險程度)


這種評價方式很容易理解,發生概率大,潛在損失也大的威脅肯定危險等級最高;而發生概率低,潛在損失也低的威脅危險等級最低。發生概率大損失小或者發生概率小損失大的,危險等級就居中。進行STRIDE-LM威脅分析時可以使用這種簡單的評價方式,評價簡潔實施容易,但由于評價標準單一,對于有爭議的威脅,如果出現大家對危險等級的評級意見不統一的情況,則跨部門多方溝通協商而定。


表.3-5G網絡威脅評價樣例

8.png


6、威脅控制措施


基于前面5個階段的工作結果,可以針對威脅評價列表中的多個威脅,實施不同的安全控制措施,這些控制措施包括保護,還包括識別、認證、檢測、防護和響應等多種機制。


表.4-5G威脅,安全屬性和控制措施

9.png


通過全面了解入侵面和威脅行為者,結合控制措施和威脅情報來綜合確定控制措施的有效性。5G網絡威脅控制措施的有效性可與威脅評價相結合使用,并進行持續地迭代與更新。


利用5G威脅建模一方面可以作為工作抓手來推動跨部門和技術條線的5G業務合作,另一方面可以使安全專家更加深入地理解業務和網絡,并與安全相融合,從而建立5G網絡入侵面整體視圖,為全面風險管理指明方向和重點。威脅建模思想和方法可以加深我們對于5G及其安全的理解,成為解決5G安全問題的“道”與“術”。



|文章作者:畢親波 趙呈東|