编者按

了解威胁建模框架、方法和工具可以帮企业更好地识别、量化和排序面临的威胁。如今,市场上已经拥有各种各样的威胁建模框架和方法,这些模型侧重点不同,其中一些模型针对特定安全技术领域,例如,工业控制系统(ICS)。STRIDEPP、DREADE、PERA模型、BLACKBOX-layered、以及ATT@CK-ICS五种ICS威胁建模方法,其关键步骤均是要精准描述目标系统、明确目标的范围、确定模型的类别、找出所有威胁、创建威胁矩阵。ICS威胁建模的直接受益对象主要有威胁情报分析师、威胁狩猎者和IR小组、红队和CISO四类角色,ICS威胁模型的直接价值体现在标识威胁、管理风险和辅助决策三个方面。ICS威胁建模的方法论,成为防御者认知ICS威胁、解构ICS威胁向量、发现威胁、呈现威胁的有力武器,其作用和价值为业界所高度认可,且具有开放、动态的属性。然而,ICS威胁模型也有其局限性,实际使用时需要裁剪。

1、ICS威胁建模成果的主要应用对象

ICS威胁建模的直接受益对象,主要有四类角色,分别威胁情报分析师、威胁狩猎者和IR小组、红队和CISO。威胁情报分析师利用此标准语言进行报告和分析。例如,在ATT&CK for ICS之前,对于描述APT33与MAGNALLIUM,只以说二者相关联,无法准确清晰表示这种关联。ATT&CK for ICS建立了一种通用语言来帮助分析师更好地理解威胁行为,而不是特定的指标或网络异常。威胁狩猎者和IR小组利用枚举的威胁行为库作为ICS搜索和ICS应急响应工作的一部分,大大提高工作效率。红队可模拟已知组织的威胁行为,以支持蓝队网络防御的开发、测试和验证。这些活动增加了防御者的信心,也发现可能需要额外关注的缺陷。CISO或者SOC负责人利用红蓝对抗的结果来帮助制定防御策略并确定网络安全计划的优先级,同时也有利于与管理层进行积极有效的沟通。

2、ICS威胁建模逐渐得到业界的价值认可

威胁建模专家Adam Shostack指出,“威胁建模是集中建设安全防御的关键。如果没有威胁建模,您将永远在玩“打地鼠”的游戏”。不同的威胁建模方法,有些通常单独使用,有些可以与其他方法结合使用。作为ICS威胁建模的主要成果,ATT&CK for ICS一经推出,就得到像CyberX、Dragos、Otorio、Fireeye等安全厂商的积极评价和认可,目前在他们的相关威胁分析报告中得以应用。ICS威胁模型的直接价值体现在三个方面。

标识威胁。协助识别、枚举、交流和了解威胁和缓解措施,以保护应用程序资产。它有助于产生安全性改进的优先列表。威胁建模可以在计划、设计和/或以后的功能实现阶段进行。威胁建模不仅使团队可以更好地了解产品,而且还可以帮助团队更好地了解应用程序正在使用的各种组件。这些知识有助于了解对产品的正面和负面影响。

管理风险。风险可以采取不同的形式,并且可以来自组织内部或外部。IT安全是推动大公司战略的关注点之一,其中包括违规风险,数据泄露,基础设施中断,法律处罚等。信息安全法规法规,无论国外还是国内,现在比以往任何时间都严格。例如,欧盟实施的通用数据保护条例(GDPR)。不合规的组织可能面临巨额罚款。威胁建模就可以发挥作用,以解决所有潜在的威胁和更高级别威胁的根本原因。

辅助决策。威胁建模可以帮助使产品安全可靠,可据此提出防御技术改进建议。利用流程中所有可用的信息,威胁模型可以做出合理的安全决策。如果按照规范进行操作,它可以为所有安全产品提供清晰的视图。至于威胁模型是否有助于产品能力的改进有待实践检验,但相关厂商的尝试已经展开,这主要取决于组织内部如何综合考量安全性以及产品团队的目标。

3、ICS威胁建模方法的“殊途同归”

STRIDEPP、DREADE、PERA模型、BLACKBOX-layered、以及ATT@CK-ICS五种ICS威胁建模方法,其关键步骤均是要精准描述目标系统、明确目标的范围、确定模型的类别、找出所有威胁、创建威胁矩阵,在这一过程中就是要解决“WHAT”、“WHERE”、“WHEN”、“WHO”、“HOW”的问题。通过表示上下文来帮助防御者识别系统,回答“ WHAT”的问题,从而可以确定威胁建模的目标对象,然后限制范围以确定弱点是否在自动化过程中,系统、子系统或供应商,网络协议甚至组件。下一步将以“黑盒子”的身份来划定界限,以回答“ WHERE”问题,这将有助于识别包括通信、人员、硬件、供应链和物理组件在内的交互。有时,范围可能仅集中于系统生命周期的一个阶段来定义威胁建模中的“WHEN”问题,这将导致“ WHO”正在执行每个步骤。“ HOW”的安全专家将确定每个级别的深度,最后创建所需的威胁矩阵。正所谓殊途同归,黑盒分层的方法和ATT@CK的方法,均输出了细颗粒度的威胁矩阵。

而从评价建模方法的优劣指标来看,以威胁呈现、可扩展性、适用性等来观测,黑盒分层的方法和ATT@CK的方法已经相差无已。从体系化防御的角度来看,找到威胁只是第一步,要防御威胁的发生或者检测到正在进行的威胁,仍然是一项复杂物系统工程。内部团队可以管理ICS系统运行环境中的许多威胁。但是,更复杂的程序需要特殊的技能、能力和人员,特别是内部入侵者的威胁才是真正的挑战,需要对概念、操作和技术有特别的理解。

4、ICS威胁建模具备“双刃剑”特性

值得一提的是,ICS威胁建模的方法论,成为防御者认知ICS威胁、解构ICS威胁向量、发现威胁、呈现威胁的有力武器,其作用和价值为业界所高度认可。作为防御者,这个模型对攻击TTP的细粒度分解,特别适合威胁检测产品的特征标定、检测点位设定和策略规划。站在攻击者的视角,这个建模过程涉及的方法和输出结果,同样为其提供了完善攻击链、丰富武器库、逃避检测机制、对抗追踪溯源等活动的有力支撑。这种持续对抗博弈的能力较量,必然会加剧双方技术制高点的争夺态势。从目前的实践来看,在IT域的威胁模型,MITRE的ATT@CK框架和NSA的威胁框架为主导的趋势已经比较明显,相关安全厂商的产品和服务已经适配了这种威胁模型。而在OT域,MITRE刚刚推出的ATT@CK for ICS也得到了部分工业安全厂商的认可与跟随,未来相应产品的适配肯定会跟进。

5、ICS威胁建模的开放性和动态性

ICS威胁建模不是一个包含任何人都可以开始到结束的有明确步骤的程序过程,但它具有开放、动态的属性。开放性体现在威胁模型可吸纳安全厂商、设施运营方、供应链等多个渠道的知识库更新和追加,比如ATT@CK for ICS已经得到Dragos、GE、Otorio及一些研究人员的支持,对相关的TTP进行补充和完善。动态属性归因于技术的发展变化,比如AI/ML、5G、IT与OT的加速融合,根本在于新技术被攻击方和防御者同时都积极应用而对攻防态势、力量对比带来的变化。这种变化必然催生威胁模型的修正、更新和演进。比如,AI/ML在企业目标系统中的应用,就必然考虑对AI/ML系统进行威胁建模,这提出了新思维方式和新问题。数据科学家和安全工程师都应对此进行评估,因为这将成为他们进行威胁建模讨论和缓解优先级划分的指南。另一方面,如果攻击者采用了融合AI/ML技术的TTP,那在呈现和找出融合了AI/ML的TTP并提供缓解措施时,则需要提供有关特定攻击TTP的详细信息以及用于保护产品和服务免受这些威胁影响的缓解步骤。这对威胁建模也提出了新的挑战。

6、ICS威胁模型存在明显的局限性

无论是ICS的哪一个威胁模型均有其优点与不足,而且其与行业(特别是关键信息基础设施领域)场景产生关联,实际使用时可能需要裁剪。威胁模型是风险模型的输入,是风险度量的关键。威胁模型是依据保护对象的系统模型构建的。如何评价威胁模型?有什么标准?据此提出的防御技术有效性如何?还有待实践的检验。比如,用规范性、覆盖度、具象性评价ICS威胁模型是否足够?ICS威胁模型在支撑风险度量的评估和定义方面,需要用适用性、可行性、可采纳性、可扩展性、信息共享能力等维度来评价。在ICS威胁模型用于支撑网络攻防演练方面,桌面推演、红蓝对抗、混合演习对复杂度、严谨性、完整性、覆盖度的要求不尽相同。特别是在评估所提出的防御技术方面,其有效性即对组织网络安全能力的增强,需要通过抽象或概念模型、建模和模拟事件、网络靶场、桌面推演、模拟实验、操作实验和欺骗环境等手段来检验。

参考资源

【1】Mounir Kamal,ICS Layered Threat Modeling,SANS Institute Information Security Reading Room,2019.01.01

【2】Nataliya Shevchenko, Timothy A. Chick, Paige O’Riordan,THREAT MODELING: A SUMMARY OF AVAILABLE METHODS,Carnegie Mellon University,Software Engineering Institute,July 2018

声明:本文来自天地和兴,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。