网络安全建模可以帮助组织更全面、深入地理解其网络安全环境,从而更有效地预测和对抗潜在的威胁与风险。网络安全工作者也可以借助优秀的网络安全模型和框架的辅助更加直观清晰、更有条理的开展工作;网安模型还可以是网络安全规划、安全运营的重要辅助工具,使用网络安全模型对业务安全进行总结和指导,避免思维被局限,出现安全短板。
日前网络安全专家罗雄老师发表了《网络安全人士必知的35个安全框架及模型》[1],为大家总结了35种业界经典的安全模型。这35种经典网络安全模型涵盖了安全生存、纵深防御、安全能力、成熟度、机密性模型、完整性模型、信息流模型等多个方面。这篇文章也成为了网络安全建模辅助工具社区广大用户探究网络安全建模的重要参考资料。
截至本文发布,得益于专家学者、业界同仁、网络安全爱好者及安天威胁建模兴趣小组的共同努力,网络安全建模辅助工具平台的模型社区已完成并发布了其中30个模型(见下表1),供大家参考和使用。
经典网安模型发布情况如下:
序号 |
模型 |
是否上线 |
1 |
PDR模型 |
已上线 |
2 |
P2DR模型 |
已上线 |
3 |
PDRR模型 |
已上线 |
4 |
PDR2A模型 |
已上线 |
5 |
IPDRR模型 |
已上线 |
6 |
APPDRR模型 |
已上线 |
7 |
PADIMEE模型 |
已上线 |
8 |
WPDRRC模型 |
已上线 |
9 |
自适应安全架构ASA3.0 |
已上线 |
10 |
IATF信息保障技术框架 |
已上线 |
11 |
网络生存模型 |
未上线 |
12 |
纵深防御模型 |
已上线 |
13 |
分层防护模型 |
已上线 |
14 |
SSE-CMM模型 |
已上线 |
15 |
数据安全能力成熟度模型 |
已上线 |
16 |
软件安全能力成熟度模型 |
已上线 |
17 |
BLP机密性模型 |
已上线 |
18 |
BiBa完整性模型 |
已上线 |
19 |
信息流模型 |
未上线 |
20 |
信息系统安全保障评估模型 |
已上线 |
21 |
网络安全能力滑动标尺模型 |
已上线 |
22 |
数据安全治理框架(DSG) |
未上线 |
23 |
数据安全架构5A方法论 |
已上线 |
24 |
等级保护模型 |
未上线 |
25 |
PETS渗透测试框架 |
已上线 |
26 |
网络杀伤链(Kill Chain) |
已上线 |
27 |
ATT&CK框架 |
已上线 |
28 |
钻石模型(The Diamond Model) |
已上线 |
29 |
攻击树模型 |
已上线 |
30 |
STRIDE模型 |
已上线 |
31 |
PASTA威胁建模 |
已上线 |
32 |
零信任模型 |
未上线 |
33 |
NIST 网络安全框架 |
已上线 |
34 |
网络安全态势感知模型 |
已上线 |
35 |
LINDDUN威胁建模 |
已上线 |
PDR模型是由美国国际互联网安全系统公司(以下简称:ISS)提出,它是最早体现主动防御思想的一种网络安全模型。模型包括保护、检测和响应三个环节。
保护(Protection)就是采用一切可能的措施来保护网络、系统以及信息的安全。保护通常采用的技术及方法主要包括加密、认证、访问控制、防火墙以及防病毒等。
检测(Detection)可以了解和评估网络和系统的安全状态,为安全防护和安全响应提供依据。检测技术主要包括入侵检测 、漏洞检测以及网络扫描等技术。
响应(Response)在安全模型中占有重要地位,是解决安全问题的最有效办法。解决安全问题就是解决紧急响应和异常处理问题,因此,建立应急响应机制,形成快速安全响应的能力,对网络和系统而言至关重要。
图1 PDR模型示例
P2DR模型源自美国ISS公司,它被认为是动态网络安全体系的代表模型,承载着动态安全模型的雏形。
P2DR模型中的防护、检测和响应形成了一个协同而动态的“闭环过程”。在整体安全策略的引导下,这一循环不断循环,以保障信息系统的整体安全。P2DR模型能为信息系统的安全提供坚实的防护基础,使得系统能够适应不断演变的威胁环境,实现动态而可持续的安全防护。
图2 P2DR模型示例
PDRR模型由美国国防部提出,是防护(Protection)、检测(Detection)、响应(Response)、恢复(Recovery)的缩写。PDRR改进了传统的只注重防护的单一安全防御思想,强调了信息安全保障的PDRR四个重要环节。
图3 PDRR模型示例
PDR2A模型是在原PDR2安全模型的基础上提出的,由Protection(防护)、Detection(检测)、Response (响应)、Recovery(恢复)、Auditing(审计)组成。其在PDR2模型的基础上增加了审计分析模块。
图4 PDR2A模型示例
IPDRR模型体现了安全保障系统化的思想,管理与技术结合来有效保障系统核心业务的安全。它包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recovery)五大能力。
这个框架从以防护为核心的模型,转向以检测和业务连续性管理的模型,变被动为主动,最终达成自适应的安全能力。通过持续的安全检测,可以及时发现并应对网络攻击事件,减少其对业务的影响,同时也可以对系统进行恢复和修复,确保系统的正常运行。
图5 IPDRR模型示例
为了使DR模型能够贴切地描述网络安全的本质规律,网络安全工程师们在实践中对DR模型进行了修正和补充,在此基础上提出了APPDRR模型。APPDRR模型认为网络安全由风险评估(Assessment)、安全策略(Policy)、系统防护(Protection)、动态检测(Detection)、实时响应(Reaction)和灾难恢复(Restoration)六部分完成。APPDRR模型还隐含了网络安全的相对性和动态螺旋上升的过程,即:不存在百分之百的静态的网络安全,网络安全表现为一个不断改进的过程。
图6 APPDRR模型示例
PADIMEE模型是信息系统安全生命周期模型,它包括策略(Policy)、评估(Assessment)、设计(Design)、实现(Implementation)、管理(Management)、紧急响应(Emergency)和教育(Education)七个要素。整个模型以安全策略为核心,设计 – 实现 – 管理 – 评估围绕策略形成一个闭环,其中紧急响应是管理的一个组成部分,教育覆盖了各个环节。
图7 PADIMEE模型示例
WPDRRC安全模型是我国在PDR模型、P2DR模型及PDRR等模型的基础上提出的,适合我国国情的网络动态安全模型,重点在PDRR模型的前后增加了预警和反击功能。
WPDRRC模型有6个环节和3大要素:
6个环节包括预警、保护、检测、响应、恢复和反击,它们具有较强的时序性和动态性,能够较好地反映出信息系统安全保障体系的预警能力、保护能力、检测能力、响应能力、恢复能力和反击能力。
3大要素包括人员、策略和技术,人员是核心,策略是桥梁,技术是保证。3大要素落实在WPDRRC模型6个环节的各个方面,将安全策略变为安全现实。
图8 WPDRRC模型示例
自适应安全框架(ASA)是Gartner于2014年提出的面向下一代的安全体系框架,以应对“云大物移智”时代所面临的安全形势。自适应安全框架(ASA)从预测、防御、检测、响应四个维度,强调安全防护是一个持续处理的、循环的过程,细粒度、多角度、持续化的对安全威胁进行实时动态分析,自动适应不断变化的网络和威胁环境,并不断优化自身的安全防御机制。
图9 自适应安全架构ASA3.0示例
IATF提出信息安全保障的核心思想是纵深防御,采用一个多层次的、纵深的安全措施来保障信息系统安全。
IATF提出的深度防御战略3个核心要素为人、技术、和操作。
IATF关注网络和基础设施、区域边界、计算环境、支撑性基础设施4个焦点领域。基于4个焦点领域,结合IATF纵深防御思想进行安全防御从而形成保障框架。
图10 IATF信息保障技术框架示例
纵深防御模型的基本思路是将信息网络安全防护措施有机组合起来,针对保护对象,部署合适的安全措施,形成多道保护线,各安全防护措施能够相互支持和补救,尽可能地阻断攻击者的威胁。纵深防御也被称为深度防护战略(Defense-in-Depth),旨在通过多层次、多维度的安全措施,提高网络的安全性。
分层防护模型通过将保护对象划分为不同的层次,并为每一层部署相应的安全措施,提供多层次的保护手段来减轻潜在的威胁和攻击所造成的影响。
分层防护模型针对单独保护节点,以OSI7层模型为参考,对保护对象进行层次化保护。典型保护层次分为物理层、网络层、系统层、应用层、用户层、管理层,然后针对每层的安全威胁,部署合适的安全措施,进行分层防护。
分层防护模型采用多层次的安全策略和技术,形成了多重防御的体系结构,能够在不同层面上对威胁进行拦截和阻止,提高了整体的安全性。通过多层次的安全保护,有效降低受到攻击和数据泄露的风险,提高系统的稳定性和可靠性。
SSE-CMM(Systems Security Engineering Capability Maturity Model)是系统安全工程能力成熟度模型。该模型基于能力成熟度模型(CMM)的概念,着重于系统安全工程的各个阶段,从而使组织能够逐步提高其系统安全工程的水平。
DSMM(Data security capability maturity model)数据安全能力成熟度模型,由阿里巴巴作为主要起草单位编制的一份关于数据安全管理的标准。DSMM借鉴能力成熟度模型(CMM)的思想,将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。
软件安全能力成熟度模型分成五级,各级别的主要过程如下:
CMM1级-补丁修补:
CMM2级-渗透测试、安全代码评审;
CMM3级-漏洞评估、代码分析、安全编码标准;
CMM4级-软件安全风险识别、SDLC实施不同安全检查点;
CMM5级-改进软件安全风险覆盖率、评估安全差距。
BLP机密性模型是由David Bell和Leonard LaPadula提出的符合军事安全策略的计算机安全模型,简称BLP模型。该模型用于防止非授权信息的扩散,从而保证系统的安全。
BLP模型有两个特性:简单安全特性、*特性。
简单安全特性:主体对客体进行读访问的必要条件是主体的安全级别不小于客体的安全级别,主体的范畴集合包含客体的全部范畴,即主体只能向下读,不能向上读。
*特性:一个主体对客体进行写访问的必要条件是客体的安全级支配主体的安全级,即客体的保密级别不小于主体的保密级别,客体的范畴集合包含主体的全部范畴,即主体只能向上写,不能向下写。
BiBa完整性模型是由美国计算机科学家Kenneth J. Biba于1975年提出的,旨在防止未经授权的信息修改。BiBa模型与Bell-LaPadula(BLP)模型不同,BLP主要关注机密性,而BiBa关注完整性。
BiBa模型具有三个安全特性:简单安全特性、*特性、调用特性。
简单安全特性:主体对客体进行修改访问的必要条件是主体的完整性级别不小于客体的完整性级别,主体的范畴集合包含客体的全部范畴,即主体不能向下读。
*特性:主体的完整性级别小于客体的完整性级别,不能修改客体,即主体不能向上写。
调用特性:主体的完整性级别小于另一个主体的完整性级别,不能调用另一个主体。
国标 GB/T 20247.1-2006《信息安全技术 信息安全保障评估框架第一部分:简介和一般模型》,定义了信息系统安全保障评估模型。
2015年,美国系统网络安全协会(SANS)提出了网络安全滑动标尺模型。该模型将网络安全体系建设过程分为架构安全、被动防御、积极防御、威胁情报和进攻反制五个阶段,按照每个阶段的建设水平来对安全防护能力进行评估,并指导未来安全防护能力的建设。
第一阶段是架构安全,主要是从架构层面解决网络空间中信息系统的“自身肌体健康”问题,是整个网络安全的根基,可视为网络安全“木桶的底板”,没有安全的“底板”,讨论木桶“长板”“短板”没有任何意义。
第二阶段为被动防御,意即根据架构完善安全系统、掌握工具、方法,具备初级检测和防御能力。
第三阶段为主动防御,指主动分析检测、应对,从外部的攻击手段和手法进行学习,该阶段开始引入了渗透测试、攻防演练和外部威胁情报。
第四阶段为威胁情报,指利用流量、主机或其他各种数据通过机器学习,进行建模及大数据分析,开展攻击行为的自学习和自识别,进行攻击画像、标签等活动。
第五阶段为进攻反制,指利用技术和策略对对手进行反制威慑。
图19 网络安全能力滑动标尺模型示例
《数据安全架构设计与实战》一书提出安全架构的5A方法论。数据安全架构5A方法论,分为身份认证、授权、访问控制、审计、资产保护。5A方法论是为达成信息资产的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability),三个性质简记为CIA,这个安全目标而采取的技术手段。
图20 数据安全架构5A方法论示例
PETS渗透测试框架分为:前期交互、情报搜集、威胁建模、漏洞分析、渗透攻击、后渗透攻击、报告阶段。它的核心理念是通过建立起进行渗透测试所要求的基本准则基线定义一次真正的渗透测试过程,得到了安全业界的广泛认同。
在前期交互阶段,通常是与客户组织进行讨论,来确定渗透测试的范围和目标。
在情报搜集阶段,需要使用各种可能的方法来收集将要攻击的客户组织的所有信息,包括使用社交媒体网络、Google Hacking技术、目标系统踩点等等。
在威胁建模阶段,主要使用在情报搜集阶段所获取到的信息,来标识出目标系统上可能存在的安全漏洞与弱点。
在漏洞分析阶段,综合从前面的几个环节中获取到信息,并从中分析和理解哪些攻击途径是可行的。
在渗透攻击阶段,对目标系统实施渗透攻击。
后渗透攻击阶段,从已经攻陷了客户组织的一些系统或取得管理权限之后开始,从一个系统攻入另一个系统,从而演示出能够对客户组织造成最重要业务影响的攻击途径。
图21 PETS渗透测试框架
图22 网络杀伤链
图23 ATT&CK框架
图24 钻石模型
攻击树(Attack trees) 为我们提供了一种正式而条理清晰的方法来描述系统所面临的安全威胁和系统可能受到的多种攻击。我们用树形结构来表示系统面临的攻击,其中根节点代表被攻击的目标,攻击者需要遵循不同的攻击路径到达目标节点。攻击树模型的节点包括基本事件、中间事件和最终事件,每个节点都表示系统中的一个潜在漏洞或安全问题。
攻击树模型是一种图形化的安全评估工具,它用于评估系统和网络的安全性,并确定防御和应对潜在攻击的策略。
图25 攻击树模型
STRIDE模型是一个由微软提出的威胁建模方法,它旨在帮助应用程序设计人员预测和评估应用程序可能面临的潜在威胁。STRIDE模型包含六个不同的威胁类别,分别是:
1)身份欺诈 (Spoofing):攻击者通过伪造身份来欺骗用户或系统。
2)篡改 (Tampering):攻击者更改数据以满足自己的目的。
3)抵赖 (Repudiation):攻击者否认自己的行为。
4)信息泄露 (Information Disclosure):攻击者泄露敏感信息。
5)拒绝服务 (Denial of Service):攻击者使系统或服务不可用。
6)特权提升 (Elevation of Privilege):攻击者获得超出其权限的访问权限。
通过使用STRIDE模型,开发团队可以在设计阶段发现潜在威胁,并采取措施来减少这些风险。
图26 STRIDE模型
图27 PASTA威胁建模
NIST框架是美国国家标准与技术研究院(NIST)提出的一种信息安全管理框架,旨在帮助组织建立和维护有效的信息安全管理系统。该框架包括五个核心组件:识别、保护、检测、响应和恢复。
图28 NIST网络安全框架
网络安全态势感知模型是开展网络安全态势感知研究的前提和基础。基于大规模网络环境中的安全要素和特征,采用数据分析、挖掘和智能推演等方法,准确理解和量化当前网络空间的安全态势,有效检测网络空间中的各种攻击事件,预测未来网络空间安全态势的发展趋势,并对引起态势变化的安全要素进行溯源。国外研究的网络安全态势感知模型主要有JDL模型、Endsley模型和Tim Bass模型等。
图29 网络安全态势感知模型
LINDDUN是一种隐私威胁建模方法,支持分析师系统地引发和减轻软件架构中的隐私威胁。LINDDUN提供支持以结构化方式指导完成威胁建模过程。此外,LINDDUN还提供隐私知识支持,让非隐私专家也能推理出隐私威胁。
LINDDUN的威胁建模过程为:定义DFD,将隐私威胁映射到DFD元素,识别威胁情景,区分威胁的优先级,引出缓解策略,选择相应的渗透测试。
原创文章,作者:guozi,如若转载,请注明出处:https://www.sudun.com/ask/89953.html