threat-modeling-risk

# 威胁建模与风险评估 ## 威胁建模方法论 ### STRIDE 威胁模型 STRIDE 是由微软开发的威胁建模框架，将威胁分为六种类型。 **STRIDE 首字母缩写**： S - 身份欺骗 (Spoofing Identity) • 冒充用户或系统 • 示例：凭据窃取、会话劫持、钓鱼 • 缓解措施：强身份验证 (MFA)、证书验证 T - 数据篡改 (Tampering with Data) • 未经授权修改数据 • 示例：SQL 注入、中间人攻击、配置篡改 • 缓解措施：输入验证、加密、数字签名、完整性检查 R - 抵赖 (Repudiation) • 否认执行过某项操作 • 示例：用户否认购买行为、管理员否认配置变更 • 缓解措施：审计日志、数字签名、不可抵赖机制 I - 信息泄露 (Information Disclosure) • 暴露机密信息 • 示例：数据泄露、信息泄漏、加密不足 • 缓解措施：加密、访问控制、数据分类、DLP D - 拒绝服务 (Denial of Service) • 使系统不可用 • 示例：DDoS 攻击、资源耗尽、无限循环 • 缓解措施：速率限制、负载均衡、DDoS 防护、容量规划 E - 特权提升 (Elevation of Privilege) • 获取未经授权的能力 • 示例：权限提升、漏洞利用、绕过访问控制 • 缓解措施：最小权限原则、输入验证、安全更新、RBAC **STRIDE 威胁建模流程**： 第一步：创建数据流图 (DFD) ┌──────────┐ HTTPS ┌──────────┐ SQL ┌──────────┐ │ 用户 │ ──────────────────>│ Web │ ────────────> │ 数据库 │ │ (浏览器) │ │ 服务器 │ │ 服务器 │ └──────────┘ └──────────┘ └──────────┘ │ │ HTTPS ▼ ┌──────────┐ │ 认证服务 │ └──────────┘ 第二步：识别信任边界 - 用户与 Web 服务器之间 (互联网) - Web 服务器与数据库之间 (内部网络) - Web 服务器与认证服务之间 第三步：对每个元素应用 STRIDE Web 服务器： ├─ 欺骗：攻击者冒充 Web 服务器 │ └─ 缓解措施：TLS 证书