5. 威胁建模过程
Ø 系统内部子系统分析:系统的分析需要逐步细分,系统内部不同子系统之间也可能存在不同的权限机制,用户接入的具体子系统也可能不同,将内部子系统的划分,将数据传递从系统外部接口细化到内部子系统,能更有效地分析系统的威胁模型。
Ø 客 体对象权限分析:安全需求阶段只描述出用户,用户是一种现实实体,应该更抽象一些成为角色的对象,包括关联的外部组件以及内部不同权限的子系统也应该抽取 成权限对象,描述这些对象的权限,同时还需要理清表面看来为同样权限对象的实际权限的区别,比如网站许可多个用户之间通过WEB页面进行通讯,表面上看来,多个用户之间好像权限一样,但其实,用户甲和用户B之间,对自己主机和对WEB网站上自己拥有的私有内容是具有不同权限的,如果用户主机或网站许可用户保留自己私有的敏感数据或功能,同一角色的不同用户也是隔离的权限。
Ø 数据流分析:外部将不同权限的对象如何接入系统和传递什么样的数据使用数据流表达出来,内部针对不同的子系统也是一样,这样就能从数据流通道角度去分析可能产生的威胁。
Ø 数据污染传递与渗透传递分析:针对数据流,可以标注出其主要负载的数据内容,并沿数据流方向,分析其可能的传递方式,主要有:
² 污染传递:在系统的子系统之内,上一处理节点的数据直接传递到下一节点的传递方式。
² 渗透传递:在系统的子系统之内,上一处理节点的数据经过处理新生成的与原始数据有相关性的数据传递到下一节点的传递方式。
Ø 攻击数据源分析:攻击数据源主要来源于两个地方
² 权限对象数据:系统外部的所有权限对象传递过来的数据源,都是攻击数据源,即使是拥有系统所有权限的外部对象,也可能因自己主机已被入侵导致被动的攻击,虽然这样的攻击很难检测和阻止,但是从安全脆弱性分析角度,系统至少应该拥有记录和事后审计的能力。
² 系 统内部低权限子系统:在系统的不同权限的子系统之间,所有低权限子系统向高权限子系统传递的或者权限不重叠和包含的子系统相互之间,由系统内部生成,外部 攻击者不直接可控的数据,也是攻击数据源,攻击者可能先通过低权限子系统的安全脆弱性控制低权限子系统获得部分的能力,然后再利用高权限子系统处理低权限 子系统数据上的安全脆弱性获得更高的权限。即使处于同一系统内,不同权限的子系统中高权限或者权限不重叠和包含的子系统之间,如果对对方传递的只内部生成 处理的数据存在问题也是安全脆弱点。(比如WIN7下IE8的提权安全漏洞)
Ø 攻击界面分析:安全脆弱点主要存在在攻击界面上,主要存在着如下的攻击界面
² 外部权限对象到系统:这个很容易理解,大多数安全脆弱点是在这里找到的。
² 低权限对象到高权限对象或不同权限对象之间:从系统整体性分析,攻击者可以通过低权限对象到高权限对象或不同权限对象之间来实施攻击,然后利用高权限或不同权限对象拥有的能力和权限以及拥有的资产,来获得对自身约束的能力和权限的突破。
² 内部低权限子系统到高权限子系统或不同权限的子系统之间也是一种攻击界面。
Ø 威 胁分析:威胁是指,针对具体的客体对象之间的数据流,攻击者可能被突破与泛用的权限或能力,根据每个攻击界面上,数据流在系统内部各个子系统上传递的每个 环节,包括外部连接的权限对象,数据影响到那些权限对象,在内部传递给那些子系统,数据流上负载那些数据,数据流到那些权限关联的数据,功能或其他实体体 现或存储在哪里,可以分析出每个数据流上可能应对的威胁,如否认,伪冒,泄密等。
Ø 安全策略分析:汇总所有的威胁,也可以针对具体的每个攻击界面面临的主要威胁,结合安全经验和常用的安全措施,分析系统应该采用的在配置,部署上实施的安全策略以及方案。
Ø 威 胁对应的漏洞形式分析:威胁在数据流上体现的具体漏洞形式,根据我们微观的分析是和数据类型,数据操作和存储的方式,以及对象权限划分相关的,结合数据, 对象权限,数据如何被处理和存储的,以及对应的威胁,我们可以具体分析出针对某一数据流的威胁可能对应的漏洞形式,这些漏洞形式就是连接宏观到微观,基于 系统内部自身实现安全脆弱性检测的依据。
