CN116415810A - 威胁分析方法、威胁分析装置及电子设备 - Google Patents
威胁分析方法、威胁分析装置及电子设备 Download PDFInfo
- Publication number
- CN116415810A CN116415810A CN202310165671.2A CN202310165671A CN116415810A CN 116415810 A CN116415810 A CN 116415810A CN 202310165671 A CN202310165671 A CN 202310165671A CN 116415810 A CN116415810 A CN 116415810A
- Authority
- CN
- China
- Prior art keywords
- threat
- target
- library
- probability
- component
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 54
- 230000009467 reduction Effects 0.000 claims abstract description 61
- 238000000034 method Methods 0.000 claims abstract description 57
- 238000004590 computer program Methods 0.000 claims description 16
- 238000012545 processing Methods 0.000 claims description 16
- 238000013507 mapping Methods 0.000 claims description 12
- 230000000116 mitigating effect Effects 0.000 claims description 11
- 230000008569 process Effects 0.000 claims description 10
- 238000012502 risk assessment Methods 0.000 claims description 8
- 230000007123 defense Effects 0.000 claims description 7
- 238000013500 data storage Methods 0.000 claims description 6
- 230000002688 persistence Effects 0.000 claims description 6
- 230000006399 behavior Effects 0.000 claims description 4
- 239000011159 matrix material Substances 0.000 description 14
- 238000004891 communication Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 238000009825 accumulation Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000035515 penetration Effects 0.000 description 2
- 238000012827 research and development Methods 0.000 description 2
- 238000011076 safety test Methods 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/06—Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
- G06Q10/063—Operations research, analysis or management
- G06Q10/0635—Risk analysis of enterprise or organisation activities
-
- G06Q50/40—
Landscapes
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Engineering & Computer Science (AREA)
- Strategic Management (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- Operations Research (AREA)
- Game Theory and Decision Science (AREA)
- Development Economics (AREA)
- Marketing (AREA)
- Educational Administration (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例提供了一种威胁分析方法、威胁分析装置及电子设备,其中,该方法包括:建立威胁库,其中,威胁库存储有各组件遭遇的概率大于预设概率的威胁对应的威胁类型、威胁内容、威胁等级以及威胁消减方式,威胁等级表征威胁内容的危险程度,威胁消减方式为消除威胁内容的方法;根据威胁库,确定目标组件遭遇的概率大于预设概率的威胁对应的目标威胁类型、目标威胁内容、目标威胁等级以及目标威胁消减方式。通过本申请,解决了安全威胁分析效率不高的问题,进而达到了威胁分析更加全面的效果。
Description
技术领域
本申请实施例涉及计算机领域,具体而言,涉及一种威胁分析方法、威胁分析装置、计算机可读存储介质及电子设备。
背景技术
威胁建模是一种基于工程和风险的方法,用于识别、评估和管理安全威胁,旨在开发和部署符合企业组织安全和风险目标的更好软件和IT系统。它主要包括威胁识别、威胁评估、缓解计划以及缓解实施四部分,其中,威胁识别是指通过了解系统可能容易受到哪些威胁来开始威胁建模,威胁评估是指识别威胁后,评估每个威胁,以确定它们变成真正攻击的可能性,以及这种攻击的影响,缓解计划是指确定可以采取哪些步骤来防止每个威胁变成成功的攻击,缓解实施是指实施缓解策略以提供针对威胁的主动防御。
然而,在威胁分析的实际操作过程中,对技术人员的网络安全知识和业务系统要求极高,且具体实施的难度也较大,进而导致安全威胁分析的效率不高。
因此,亟需一种方法可以提升安全威胁分析的效率。
发明内容
本申请实施例提供了一种威胁分析方法、威胁分析装置、计算机可读存储介质及电子设备,以至少解决相关技术中安全威胁分析的效率不高的问题。
根据本申请的一个实施例,提供了一种威胁分析方法,包括:建立威胁库,其中,所述威胁库存储有各组件遭遇的概率大于预设概率的威胁对应的威胁类型、威胁内容、威胁等级以及威胁消减方式,所述威胁等级表征所述威胁内容的危险程度,所述威胁消减方式为消除所述威胁内容的方法;根据所述威胁库,确定目标组件遭遇的概率大于所述预设概率的威胁对应的目标威胁类型、目标威胁内容、目标威胁等级以及目标威胁消减方式。
在一个示例性实施例中,建立威胁库,包括:获取系统中各组件遭遇的威胁对应的所述威胁类型;确定所述威胁类型包括的多个所述威胁内容,并存储多个所述威胁内容;对所述威胁内容进行风险评估,得到所述威胁内容对应的所述威胁等级,并存储所述威胁内容对应的所述威胁等级;根据所述威胁类型,确定对应的威胁消减方式,并存储所述威胁内容对应的所述威胁消减方式。
在又一个示例性实施例中,获取所述系统中各组件遭遇的威胁对应的所述威胁类型,包括:采用STRIDE模型对所述系统中各所述组件进行威胁识别,得到各所述组件遭遇的威胁对应的所述威胁类型,其中,所述STRIDE模型包括六种所述威胁类型与各所述组件之间的映射关系,六种所述威胁类型包括仿冒、篡改、抵赖、信息泄露、拒绝服务以及特权提升。
在又一个示例性实施例中,采用STRIDE模型对所述系统中各所述组件进行威胁识别,得到各所述组件遭遇的威胁对应的所述威胁类型,包括:根据所述系统的信息,生成数据流图,其中,所述信息包括所述系统的组件实体信息、处理过程信息、数据存储信息以及数据流信息,所述数据流图表征数据在所述系统内的各所述组件间的流转过程;根据所述数据流图和所述STRIDE模型中所述威胁类型与各所述组件之间的映射关系,确定各所述组件的所述威胁类型。
在另一个示例性实施例中,对所述威胁内容进行风险评估,得到所述威胁内容对应的所述威胁等级,包括:根据公式r=f×p,确定所述威胁等级,其中,r为所述威胁等级,f为所述威胁内容对所述组件造成的影响程度,p为所述组件遭遇所述威胁内容的概率。
在另一个示例性实施例中,建立威胁库,包括:采用ATT&CK模型生成所述威胁库,所述ATT&CK模型包括攻击行为的初始访问方式信息、执行方式信息、持久化信息、特权提升方式信息、躲避防御方式信息、凭据访问方式信息、发现方式信息、横向移动方式信息、收集方式信息、指挥和控制方式信息、外泄方式信息以及影响信息。
在再一个示例性实施例中,所述方法还包括:将所述ATT&CK模型中的初始访问方式信息作为所述攻击行为。
在再一个示例性实施例中,根据所述威胁库,确定目标组件遭遇的概率大于所述预设概率的威胁对应的目标威胁类型、目标威胁内容、目标威胁等级以及目标威胁消减方式,包括:根据所述威胁库存储的所述威胁类型与各所述组件之间的映射关系,确定所述目标组件遭遇的概率大于所述预设概率的威胁对应的所述威胁类型为所述目标威胁类型;确定所述威胁库中所述目标威胁类型包括的各所述威胁内容为所述目标威胁内容;根据所述威胁库中存储的各组件遭遇的概率大于预设概率的威胁对应的所述威胁等级,确定所述目标威胁等级;根据所述威胁库中存储的各组件遭遇的概率大于预设概率的威胁对应的所述威胁消减方式,确定所述目标威胁消减方式。
根据本申请的另一个实施例,提供了一种威胁分析装置,包括:处理模块,建立威胁库,其中,所述威胁库存储有各组件遭遇的概率大于预设概率的威胁对应的威胁类型、威胁内容、威胁等级以及威胁消减方式,所述威胁等级表征所述威胁内容的危险程度,所述威胁消减方式为消除所述威胁内容的方法;确定模块,用于根据所述威胁库,确定目标组件遭遇的概率大于所述预设概率的威胁对应的目标威胁类型、目标威胁内容、目标威胁等级以及目标威胁消减方式。
根据本申请的又一个实施例,还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一种方法实施例中的步骤。
根据本申请的又一个实施例,还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一种方法实施例中的步骤。
通过本申请,由于现有技术中进行威胁分析对技术人员的专业性要求较高,导致进行威胁的效率较低。通过在威胁分析后增加建立威胁库的方式,将系统内可能遭遇的威胁类型、威胁内容、威胁等级以及威胁消减方式存储至威胁库内,使威胁库的资源不断丰富,再直接采用该威胁库进行分析,进而可以帮助相关技术人员提升威胁分析的效率,达到解决上述技术问题的目的。
附图说明
图1是根据本申请实施例的威胁分析方法的硬件结构框图;
图2是根据本申请实施例的威胁分析方法的流程图;
图3是根据本申请实施例的威胁分析装置的结构框图。
其中,上述附图包括以下附图标记:
102、处理器;104、存储器;106、传输设备;108、输入输出设备。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请的实施例。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请实施例中所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例,图1是本申请实施例的一种威胁分析方法的移动终端的硬件结构框图。如图1所示,移动终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,其中,上述移动终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述移动终端的结构造成限定。例如,移动终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本申请实施例中的威胁分析方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至移动终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种运行于上述移动终端的威胁分析方法,图2是根据本申请实施例的威胁分析方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,建立威胁库,其中,上述威胁库存储有各组件遭遇的概率大于预设概率的威胁对应的威胁类型、威胁内容、威胁等级以及威胁消减方式,上述威胁等级表征上述威胁内容的危险程度,上述威胁消减方式为消除上述威胁内容的方法;
具体地,威胁建模是通过结构化的方法,对系统进行识别来评估产品的安全风险和威胁,并针对这些风险、威胁制定相应的消减措施的一个过程。威胁建模的核心是“像攻击者一样思考”,站在攻击者的角度去评估产品的安全性,分析产品中每个组件是否可能被篡改、仿冒,是否可能会造成信息泄露、拒绝攻击。威胁建模虽不能保证编码的安全,但可以指导研发人员编写出安全的代码,同时也可以辅助渗透测试人员开展安全测试。
步骤S204,根据上述威胁库,确定目标组件遭遇的概率大于上述预设概率的威胁对应的目标威胁类型、目标威胁内容、目标威胁等级以及目标威胁消减方式。
具体地,根据建立完成的威胁库,可以预测系统中各个组件可能出现的威胁,与威胁库内存储的威胁类型进行匹配,得到上述目标威胁类型、目标威胁内容、目标威胁等级以及目标威胁消减方式。
上述步骤,通过在威胁分析后增加建立威胁库的方式,将系统内可能遭遇的威胁类型、威胁内容、威胁等级以及威胁消减方式存储至威胁库内,使威胁库的资源不断丰富,再直接采用该威胁库进行分析,进而可以帮助相关技术人员提升威胁分析的效率,达到解决上述技术问题的目的。
在一个示例性实施例中,在包括上述步骤S202和S204的基础上,还对上述步骤S202进行细化,包括:步骤S2021,获取系统中各组件遭遇的威胁对应的上述威胁类型;步骤S2022,确定上述威胁类型包括的多个上述威胁内容,并存储多个上述威胁内容;步骤S2023,对上述威胁内容进行风险评估,得到上述威胁内容对应的上述威胁等级,并存储上述威胁内容对应的上述威胁等级;步骤S2024,根据上述威胁类型,确定对应的威胁消减方式,并存储上述威胁内容对应的上述威胁消减方式。上述方法中,通过不断存储威胁类型、威胁内容、威胁等级以及威胁消减方式进行迭代,威胁库存储的内容可以增加内容的全面性,威胁类型与对应的消减措施见下表。
表1威胁类型与对应的消减措施
在又一个示例性实施例中,在包括上述步骤S2021至步骤S2024的基础上,还对上述步骤S2021进行细化,包括:步骤S20211,采用STRIDE模型对上述系统中各上述组件进行威胁识别,得到各上述组件遭遇的威胁对应的上述威胁类型,其中,上述STRIDE模型包括六种上述威胁类型与各上述组件之间的映射关系,六种上述威胁类型包括仿冒、篡改、抵赖、信息泄露、拒绝服务以及特权提升。
具体地,STRIDE威胁模型由Microsoft安全研究人员于1999年创建,是一种以开发人员为中心的威胁建模方法,通过此方法可识别可能影响应用程序的威胁、攻击、漏洞,进而设计对应的缓解对策,以降低安全风险并满足公司的安全目标。STRIDE包括六种威胁类型,每一种威胁英文的首写字母,Spoofing(欺骗)、Tampering(篡改)、Repudiation(否认)、Information disclosure(信息泄露)、Denial of Service(拒绝服务)、Elevation ofprivilege(特权提升)。六种威胁的具体说明见下表。STRIDE方法背后的核心概念是按类型划分威胁,然后根据威胁所属的类别对每个威胁做出响应。然而,STRIDE是一个通用的威胁分析方法和模型,并不支持对具体的业务系统进行深入针对性的威胁分析,针对容器面临的安全威胁,因此还需结合本申请中的威胁库进行调整,才能进行深入针对性的威胁分析。
表2STRIDE模型六种威胁类型
在又一个示例性实施例中,在包括上述步骤S20211的基础上,还对上述步骤S20211进行了细化,包括:根据上述系统的信息,生成数据流图,其中,上述信息包括上述系统的组件实体信息、处理过程信息、数据存储信息以及数据流信息,上述数据流图表征数据在上述系统内的各上述组件间的流转过程;根据上述数据流图和上述STRIDE模型中上述威胁类型与各上述组件之间的映射关系,确定各上述组件的上述威胁类型。上述方法中,绘制数据流图就是使用组件实体、处理过程、数据存储、数据流把系统或产品的数据流转图画出来,在实际绘制的过程中,可以参考K8s官网产品架构图。根据绘制的数据流图,按照元素与威胁对应表,分析所有元素可能遇到的威胁。
具体地,以一个外部服务调用API Server为例,外部服务是一个外部实体,面临的威胁包括仿冒和抵赖、信息泄露、拒绝服务和权限提升。第一种是仿冒威胁分析,可能面临攻击者仿冒外部服务访问API Server,其消减措施为增加认证功能,通过PKI证书或者token方式认证;可能面临攻击者窃取正常用户的会话,仿冒用户访问API Server,其消减措施为长度大于24位,通过安全随机数生成、登录前后强制改变会话标识或限制Token/会话过期时间。第二种是信息泄露威胁分析,可能面临攻击者通过抓包工具获取API Server通信内容,其消减措施为API Server访问启用HTTPS,禁用非安全的HTTP协议或确保SSL证书安全,算法套中使用的是安全的算法。
在另一个示例性实施例中,在包括上述步骤S2021至步骤S2024的基础上,还对上述步骤S2023进行细化,包括:步骤S20231,根据公式r=f×p,确定上述威胁等级,其中,r为上述威胁等级,f为上述威胁内容对上述组件造成的影响程度,p为上述组件遭遇上述威胁内容的概率。上述方法中,利用风险评估的方式,为识别的威胁进行风险定级,根据实际情况,确认威胁等级较高的风险必须规避、威胁等级低的风险可以消减后遗留。
在另一个示例性实施例中,在包括上述步骤S202和S204的基础上,还对上述步骤S202进行细化,包括:步骤S2025,采用ATT&CK模型生成上述威胁库,上述ATT&CK模型包括攻击行为的初始访问方式信息、执行方式信息、持久化信息、特权提升方式信息、躲避防御方式信息、凭据访问方式信息、发现方式信息、横向移动方式信息、收集方式信息、指挥和控制方式信息、外泄方式信息以及影响信息。
具体地,容器安全威胁知识库需要不断更新达到辅助威胁建模尽可能多的识别出威胁的目的。威胁知识库可由STRIDE威胁分析不断迭代积累生成,也可以借助ATT&CK容器矩阵分析生成。ATT&CK(Adversarial Tactics,Techniques,and Common Knowledge)是一个攻击行为知识库和威胁建模模型,它包含众多威胁组织及其使用的工具和攻击技术。ATT&CK矩阵随着攻击技术的增加而不断完善,当前ATT&CK已增加了容器矩阵的内容。ATT&CK容器矩阵涵盖了编排层(例如Kubernets)和容器层(例如Docker)的攻击行为,还包括了一系列与容器相关的恶意软件。容器ATT&CK工具矩阵有助于了解K8s中的安全风险和关键攻击,并基于此制定正确的检测和缓解策略来应对这些风险,提供全面的保护。ATT&CK容器矩阵见下表,表3列举了初始访问、执行、持久化、权限提升、防御绕过、凭证访问、发现、横向移动以及影响之间的对应关系。
表3ATT&CK容器矩阵
在再一个示例性实施例中,上述步骤S2025还包括:将上述ATT&CK模型中的初始访问方式信息作为上述攻击行为。
具体地,以初始访问中的K8s API Server未授权访问攻击模式为例,威胁知识库分析如下:第一种威胁分类为仿冒,其威胁内容可能为攻击者非法访问API Server,其威胁等级为高,威胁消减方式为API Server访问认证,可采用证书或token认证。第二种威胁分类为篡改,其威胁内容为攻击者随意修改与API Server之间的通信内容,其威胁等级为高,其威胁消减方式为API Server访问启用HTTPS,适用安全加密算法,禁用非安全的HTTP协议。第三种威胁分类为抵赖,其威胁内容为攻击者随意修改与API Server之间的通信内容,其威胁等级为高,其威胁消减方式为API Server访问启用HTTPS,适用安全加密算法,禁用非安全的HTTP协议。
在再一个示例性实施例中,在包括上述步骤S202和S204的基础上,还对上述步骤S204进行细化,包括:步骤S2041,根据上述威胁库存储的上述威胁类型与各上述组件之间的映射关系,确定上述目标组件遭遇的概率大于上述预设概率的威胁对应的上述威胁类型为上述目标威胁类型;步骤S2042,确定上述威胁库中上述目标威胁类型包括的各上述威胁内容为上述目标威胁内容;步骤S2043,根据上述威胁库中存储的各组件遭遇的概率大于预设概率的威胁对应的上述威胁等级,确定上述目标威胁等级;步骤S2044,根据上述威胁库中存储的各组件遭遇的概率大于预设概率的威胁对应的上述威胁消减方式,确定上述目标威胁消减方式。
具体地,根据建立完成的威胁库,可以预测系统中各个组件可能出现的威胁,与威胁库内存储的威胁类型进行匹配,得到上述目标威胁类型、目标威胁内容、目标威胁等级以及目标威胁消减方式。
其中,上述步骤的执行主体可以为服务器、终端等,但不限于此。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例上述的方法。
在本实施例中还提供了一种威胁分析装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图3是根据本申请实施例的威胁分析装置的结构框图,如图3所示,该装置包括:
处理模块22,用于建立威胁库,其中,上述威胁库存储有各组件遭遇的概率大于预设概率的威胁对应的威胁类型、威胁内容、威胁等级以及威胁消减方式,上述威胁等级表征上述威胁内容的危险程度,上述威胁消减方式为消除上述威胁内容的方法;
具体地,威胁建模是通过结构化的方法,对系统进行识别来评估产品的安全风险和威胁,并针对这些风险、威胁制定相应的消减措施的一个过程。威胁建模的核心是“像攻击者一样思考”,站在攻击者的角度去评估产品的安全性,分析产品中每个组件是否可能被篡改、仿冒,是否可能会造成信息泄露、拒绝攻击。威胁建模虽不能保证编码的安全,但可以指导研发人员编写出安全的代码,同时也可以辅助渗透测试人员开展安全测试。
确定模块24,用于根据上述威胁库,确定目标组件遭遇的概率大于上述预设概率的威胁对应的目标威胁类型、目标威胁内容、目标威胁等级以及目标威胁消减方式。
具体地,根据建立完成的威胁库,可以预测系统中各个组件可能出现的威胁,与威胁库内存储的威胁类型进行匹配,得到上述目标威胁类型、目标威胁内容、目标威胁等级以及目标威胁消减方式。
上述装置,通过在威胁分析后增加建立威胁库的方式,将系统内可能遭遇的威胁类型、威胁内容、威胁等级以及威胁消减方式存储至威胁库内,使威胁库的资源不断丰富,再直接采用该威胁库进行分析,进而可以帮助相关技术人员提升威胁分析的效率,达到解决上述技术问题的目的。
在一个示例性实施例中,在包括上述处理模块和确定模块的基础上,还对上述处理模块进行细化,包括获取子模块、第一存储子模块、第二存储子模块以及第三存储子模块,其中,获取子模块用于获取系统中各组件遭遇的威胁对应的上述威胁类型;第一存储子模块用于确定上述威胁类型包括的多个上述威胁内容,并存储多个上述威胁内容;第二存储子模块用于对上述威胁内容进行风险评估,得到上述威胁内容对应的上述威胁等级,并存储上述威胁内容对应的上述威胁等级;第三存储子模块用于根据上述威胁类型,确定对应的威胁消减方式,并存储上述威胁内容对应的上述威胁消减方式。上述装置中,通过不断存储威胁类型、威胁内容、威胁等级以及威胁消减方式进行迭代,威胁库存储的内容可以增加内容的全面性,威胁类型与对应的消减措施见下表。
表1威胁类型与对应的消减措施
在又一个示例性实施例中,在包括上述获取子模块、第一存储子模块、第二存储子模块以及第三存储子模块的基础上,获取子模块还用于采用STRIDE模型对上述系统中各上述组件进行威胁识别,得到各上述组件遭遇的威胁对应的上述威胁类型,其中,上述STRIDE模型包括六种上述威胁类型与各上述组件之间的映射关系,六种上述威胁类型包括仿冒、篡改、抵赖、信息泄露、拒绝服务以及特权提升。
具体地,STRIDE威胁模型由Microsoft安全研究人员于1999年创建,是一种以开发人员为中心的威胁建模方法,通过此方法可识别可能影响应用程序的威胁、攻击、漏洞,进而设计对应的缓解对策,以降低安全风险并满足公司的安全目标。STRIDE包括六种威胁类型,每一种威胁英文的首写字母,Spoofing(欺骗)、Tampering(篡改)、Repudiation(否认)、Information disclosure(信息泄露)、Denial of Service(拒绝服务)、Elevation ofprivilege(特权提升)。六种威胁的具体说明见下表。STRIDE方法背后的核心概念是按类型划分威胁,然后根据威胁所属的类别对每个威胁做出响应。然而,STRIDE是一个通用的威胁分析方法和模型,并不支持对具体的业务系统进行深入针对性的威胁分析,针对容器面临的安全威胁,因此还需结合本申请中的威胁库进行调整,才能进行深入针对性的威胁分析。
表2STRIDE模型六种威胁类型
在又一个示例性实施例中,上述获取子模块还用于根据上述系统的信息,生成数据流图,其中,上述信息包括上述系统的组件实体信息、处理过程信息、数据存储信息以及数据流信息,上述数据流图表征数据在上述系统内的各上述组件间的流转过程;根据上述数据流图和上述STRIDE模型中上述威胁类型与各上述组件之间的映射关系,确定各上述组件的上述威胁类型。上述装置中,绘制数据流图就是使用组件实体、处理过程、数据存储、数据流把系统或产品的数据流转图画出来,在实际绘制的过程中,可以参考K8s官网产品架构图。根据绘制的数据流图,按照元素与威胁对应表,分析所有元素可能遇到的威胁。
具体地,以一个外部服务调用API Server为例,外部服务是一个外部实体,面临的威胁包括仿冒和抵赖、信息泄露、拒绝服务和权限提升。第一种是仿冒威胁分析,可能面临攻击者仿冒外部服务访问API Server,其消减措施为增加认证功能,通过PKI证书或者token方式认证;可能面临攻击者窃取正常用户的会话,仿冒用户访问API Server,其消减措施为长度大于24位,通过安全随机数生成、登录前后强制改变会话标识或限制Token/会话过期时间。第二种是信息泄露威胁分析,可能面临攻击者通过抓包工具获取API Server通信内容,其消减措施为API Server访问启用HTTPS,禁用非安全的HTTP协议或确保SSL证书安全,算法套中使用的是安全的算法。
在另一个示例性实施例中,在包括上述获取子模块、第一存储子模块、第二存储子模块以及第三存储子模块的基础上,第二存储子模块还用于根据公式r=f×p,确定上述威胁等级,其中,r为上述威胁等级,f为上述威胁内容对上述组件造成的影响程度,p为上述组件遭遇上述威胁内容的概率。上述装置中,利用风险评估的方式,为识别的威胁进行风险定级,根据实际情况,确认威胁等级较高的风险必须规避、威胁等级低的风险可以消减后遗留。
在另一个示例性实施例中,在包括上述处理模块和确定模块的基础上,还对上述处理模块进行细化,包括生成子模块用于采用ATT&CK模型生成上述威胁库,上述ATT&CK模型包括攻击行为的初始访问方式信息、执行方式信息、持久化信息、特权提升方式信息、躲避防御方式信息、凭据访问方式信息、发现方式信息、横向移动方式信息、收集方式信息、指挥和控制方式信息、外泄方式信息以及影响信息。
具体地,容器安全威胁知识库需要不断更新达到辅助威胁建模尽可能多的识别出威胁的目的。威胁知识库可由STRIDE威胁分析不断迭代积累生成,也可以借助ATT&CK容器矩阵分析生成。ATT&CK(Adversarial Tactics,Techniques,and Common Knowledge)是一个攻击行为知识库和威胁建模模型,它包含众多威胁组织及其使用的工具和攻击技术。ATT&CK矩阵随着攻击技术的增加而不断完善,当前ATT&CK已增加了容器矩阵的内容。ATT&CK容器矩阵涵盖了编排层(例如Kubernets)和容器层(例如Docker)的攻击行为,还包括了一系列与容器相关的恶意软件。容器ATT&CK工具矩阵有助于了解K8s中的安全风险和关键攻击,并基于此制定正确的检测和缓解策略来应对这些风险,提供全面的保护。ATT&CK容器矩阵见下表,表3列举了初始访问、执行、持久化、权限提升、防御绕过、凭证访问、发现、横向移动以及影响之间的对应关系。
表3ATT&CK容器矩阵
在再一个示例性实施例中,上述生成子模块还用于将上述ATT&CK模型中的初始访问方式信息作为上述攻击行为。
具体地,以初始访问中的K8s API Server未授权访问攻击模式为例,威胁知识库分析如下:第一种威胁分类为仿冒,其威胁内容可能为攻击者非法访问API Server,其威胁等级为高,威胁消减方式为API Server访问认证,可采用证书或token认证。第二种威胁分类为篡改,其威胁内容为攻击者随意修改与API Server之间的通信内容,其威胁等级为高,其威胁消减方式为API Server访问启用HTTPS,适用安全加密算法,禁用非安全的HTTP协议。第三种威胁分类为抵赖,其威胁内容为攻击者随意修改与API Server之间的通信内容,其威胁等级为高,其威胁消减方式为API Server访问启用HTTPS,适用安全加密算法,禁用非安全的HTTP协议。
在再一个示例性实施例中,在包括上述处理模块和确定模块的基础上,还对上述确定模块进行细化,包括第一确定子模块、第二确定子模块、第三确定子模块以及第四确定子模块,其中,第一确定子模块用于根据上述威胁库存储的上述威胁类型与各上述组件之间的映射关系,确定上述目标组件遭遇的概率大于上述预设概率的威胁对应的上述威胁类型为上述目标威胁类型;第二确定子模块用于确定上述威胁库中上述目标威胁类型包括的各上述威胁内容为上述目标威胁内容;第三确定子模块用于根据上述威胁库中存储的各组件遭遇的概率大于预设概率的威胁对应的上述威胁等级,确定上述目标威胁等级;第四确定子模块用于根据上述威胁库中存储的各组件遭遇的概率大于预设概率的威胁对应的上述威胁消减方式,确定上述目标威胁消减方式。
具体地,根据建立完成的威胁库,可以预测系统中各个组件可能出现的威胁,与威胁库内存储的威胁类型进行匹配,得到上述目标威胁类型、目标威胁内容、目标威胁等级以及目标威胁消减方式。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
本申请的实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一种方法实施例中的步骤。
在一个示例性实施例中,上述计算机可读存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本申请的实施例还提供了一种电子设备,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一种方法实施例中的步骤。
在一个示例性实施例中,上述电子设备还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
本实施例中的具体示例可以参考上述实施例及示例性实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本申请的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本申请不限制于任何特定的硬件和软件结合。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (11)
1.一种威胁分析方法,其特征在于,包括:
建立威胁库,其中,所述威胁库存储有各组件遭遇的概率大于预设概率的威胁对应的威胁类型、威胁内容、威胁等级以及威胁消减方式,所述威胁等级表征所述威胁内容的危险程度,所述威胁消减方式为消除所述威胁内容的方法;
根据所述威胁库,确定目标组件遭遇的概率大于所述预设概率的威胁对应的目标威胁类型、目标威胁内容、目标威胁等级以及目标威胁消减方式。
2.根据权利要求1所述的方法,其特征在于,建立威胁库,包括:
获取系统中各组件遭遇的威胁对应的所述威胁类型;
确定所述威胁类型包括的多个所述威胁内容,并存储多个所述威胁内容;
对所述威胁内容进行风险评估,得到所述威胁内容对应的所述威胁等级,并存储所述威胁内容对应的所述威胁等级;
根据所述威胁类型,确定对应的威胁消减方式,并存储所述威胁内容对应的所述威胁消减方式。
3.根据权利要求2所述的方法,其特征在于,获取系统中各组件遭遇的威胁对应的所述威胁类型,包括:
采用STRIDE模型对所述系统中各所述组件进行威胁识别,得到各所述组件遭遇的威胁对应的所述威胁类型,其中,所述STRIDE模型包括六种所述威胁类型与各所述组件之间的映射关系,六种所述威胁类型包括仿冒、篡改、抵赖、信息泄露、拒绝服务以及特权提升。
4.根据权利要求3所述的方法,其特征在于,采用STRIDE模型对所述系统中各所述组件进行威胁识别,得到各所述组件遭遇的威胁对应的所述威胁类型,包括:
根据所述系统的信息,生成数据流图,其中,所述信息包括所述系统的组件实体信息、处理过程信息、数据存储信息以及数据流信息,所述数据流图表征数据在所述系统内的各所述组件间的流转过程;
根据所述数据流图和所述STRIDE模型中所述威胁类型与各所述组件之间的映射关系,确定各所述组件的所述威胁类型。
5.根据权利要求2所述的方法,其特征在于,对所述威胁内容进行风险评估,得到所述威胁内容对应的所述威胁等级,包括:
根据公式r=f×p,确定所述威胁等级,其中,r为所述威胁等级,f为所述威胁内容对所述组件造成的影响程度,p为所述组件遭遇所述威胁内容的概率。
6.根据权利要求1所述的方法,其特征在于,建立威胁库,包括:
采用ATT&CK模型生成所述威胁库,所述ATT&CK模型包括攻击行为的初始访问方式信息、执行方式信息、持久化信息、特权提升方式信息、躲避防御方式信息、凭据访问方式信息、发现方式信息、横向移动方式信息、收集方式信息、指挥和控制方式信息、外泄方式信息以及影响信息。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
将所述ATT&CK模型中的初始访问方式信息作为所述攻击行为。
8.根据权利要求1所述的方法,其特征在于,根据所述威胁库,确定目标组件遭遇的概率大于所述预设概率的威胁对应的目标威胁类型、目标威胁内容、目标威胁等级以及目标威胁消减方式,包括:
根据所述威胁库存储的所述威胁类型与各所述组件之间的映射关系,确定所述目标组件遭遇的概率大于所述预设概率的威胁对应的所述威胁类型为所述目标威胁类型;
确定所述威胁库中所述目标威胁类型包括的各所述威胁内容为所述目标威胁内容;
根据所述威胁库中存储的各组件遭遇的概率大于预设概率的威胁对应的所述威胁等级,确定所述目标威胁等级;
根据所述威胁库中存储的各组件遭遇的概率大于预设概率的威胁对应的所述威胁消减方式,确定所述目标威胁消减方式。
9.一种威胁分析装置,其特征在于,包括:
处理模块,用于建立威胁库,其中,所述威胁库存储有各组件遭遇的概率大于预设概率的威胁对应的威胁类型、威胁内容、威胁等级以及威胁消减方式,所述威胁等级表征所述威胁内容的危险程度,所述威胁消减方式为消除所述威胁内容的方法;
确定模块,用于根据所述威胁库,确定目标组件遭遇的概率大于所述预设概率的威胁对应的目标威胁类型、目标威胁内容、目标威胁等级以及目标威胁消减方式。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被处理器执行时实现所述权利要求1至8任一项中所述的方法的步骤。
11.一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现所述权利要求1至8任一项中所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310165671.2A CN116415810A (zh) | 2023-02-24 | 2023-02-24 | 威胁分析方法、威胁分析装置及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310165671.2A CN116415810A (zh) | 2023-02-24 | 2023-02-24 | 威胁分析方法、威胁分析装置及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116415810A true CN116415810A (zh) | 2023-07-11 |
Family
ID=87048809
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310165671.2A Pending CN116415810A (zh) | 2023-02-24 | 2023-02-24 | 威胁分析方法、威胁分析装置及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116415810A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117459323A (zh) * | 2023-12-21 | 2024-01-26 | 杭州海康威视数字技术股份有限公司 | 智能进化物联网设备的威胁建模方法和装置 |
-
2023
- 2023-02-24 CN CN202310165671.2A patent/CN116415810A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117459323A (zh) * | 2023-12-21 | 2024-01-26 | 杭州海康威视数字技术股份有限公司 | 智能进化物联网设备的威胁建模方法和装置 |
CN117459323B (zh) * | 2023-12-21 | 2024-02-27 | 杭州海康威视数字技术股份有限公司 | 智能进化物联网设备的威胁建模方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Geer et al. | Penetration testing: A duet | |
US20140157415A1 (en) | Information security analysis using game theory and simulation | |
CN111507597A (zh) | 一种网络信息安全风险评估模型和方法 | |
Diallo et al. | A comparative evaluation of three approaches to specifying security requirements | |
Bitton et al. | Evaluating the information security awareness of smartphone users | |
CN109683854A (zh) | 一种软件安全需求分析方法及系统 | |
Karimov et al. | Development of approaches and schemes for proactive information protection in computer networks | |
Kotenko et al. | Selection of countermeasures against network attacks based on dynamical calculation of security metrics | |
CN116415810A (zh) | 威胁分析方法、威胁分析装置及电子设备 | |
CN114139178A (zh) | 基于数据链路的数据安全监测方法、装置和计算机设备 | |
CN110807187B (zh) | 一种基于区块链的网络市场违法信息存证方法及平台端 | |
CN113992414A (zh) | 数据的访问方法、装置及设备 | |
Hu et al. | Implementation of social engineering attack at institution of higher education | |
Morais et al. | Security protocol testing using attack trees | |
Nicolaysen et al. | Agile software development: The straight and narrow path to secure software? | |
CN116506206A (zh) | 基于零信任网络用户的大数据行为分析方法及系统 | |
Pramanik | Threat motivation | |
Chowdhury | Security risk modelling using SecureUML | |
CN107155185A (zh) | 一种接入wlan的认证方法、装置及系统 | |
Kobiela | The security of mobile business applications based on mCRM | |
Ellison et al. | Security and survivability reasoning frameworks and architectural design tactics | |
Cârstea | Methods of Identifying Vulnerabilities in the Information Security Incident Management Process | |
Pedraza-García et al. | Mitigating security threats using tactics and patterns: A controlled experiment | |
Arogundade et al. | A unified use-misuse case model for capturing and analysing safety and security requirements | |
Dong et al. | ‘Establishing common input scenarios for security assessment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |