步骤 2 - 中断
在中断阶段,需使用数据流关系图查找针对系统的潜在威胁。 此过程使用威胁建模框架,以帮助你查找最常见的威胁和防范威胁的方法。
目标
- 在以“保护系统”和“了解攻击者”为核心的方法中进行选择
- 使用 STRIDE 框架识别常见威胁
重要
如果不完成此阶段,就不会发现系统中的潜在威胁,这可能会导致未来出现违规现象。
确定方法侧重点
首先,选择是要找到保护系统的方法,还是想要尽可能地了解攻击者及其动机。 示例包括:
| 侧重点 | 可以查找的内容示例 |
|---|---|
| 系统 | 发现用户与系统之间的未加密连接存在问题。 |
| 攻击者 | 进一步了解方法、动机和强化系统入口点的方法。 |
| 资产 | 基于分类数据处理等功能确定关键资产,主要专注于保护这些资产。 |
注意
Microsoft 产品工程师主要致力于保护系统。 渗透测试团队两者兼顾。
选择威胁框架
接下来,选择一个框架,帮助生成系统中的潜在威胁。 Microsoft 通常使用 STRIDE(六种主要威胁类别的首字母缩写)提供广泛但未穷尽的威胁列表。
此框架可帮助你提出有关系统的几个重要问题:
| 威胁 | 定义 | 问题 | 威胁示例 |
|---|---|---|---|
| 欺骗 | 攻击者冒充某人或某物 | 通信的双方是否都通过了身份验证? | 通过看似合法的帐户向用户发送一封带有恶意链接和附件的电子邮件,以捕获用户的凭据、数据和设备访问权限 |
| 篡改 | 攻击者在未经授权的情况下更改数据 | 如何得知某人无法更改传输中的数据、正在使用的数据或静态数据? | 通过弱 API 调用处理修改内存,导致崩溃和泄漏敏感错误消息 |
| 否认性 | 攻击者声称尚未执行任何操作 | 每个操作是否可以绑定到标识? | 声称没有删除数据库记录 |
| 信息泄露 | 攻击者看到了不应看到的数据 | 如何得知某人无法看到传输中的数据、正在使用的数据或静态数据? | 访问安全控制较弱的未授权文档和文件夹 |
| 拒绝服务 | 攻击者使你的系统崩溃 | 系统中是否存在资源受限的区域? | 向网络发送大量请求 |
| 权限提升 | 攻击者未经授权而可访问数据 | 如何得知某人可以执行此操作? | 利用输入处理逻辑或内存中的弱点来提取数据 |