最近備受矚目的安全漏洞顯示,被動式安全措施還不夠。適當的威脅模型可能已防止部分資料外洩。由 Microsoft 開發的 STRIDE 威脅模型已成為主動式安全規劃最有效的架構之一。STRIDE(詐騙、竄改、譴責、資訊揭露、拒絕服務(DoS)和權限提升)是系統化的安全方法,可協助開發團隊像攻擊者一樣,在入侵發生前保護系統。
STRIDE 的 6 個類別
STRIDE 模型將威脅分為六種類型,分別解決軟體安全性風險的不同方面:
詐騙:假設冒充數位身份盜竊。它指的是冒充其他使用者或系統元件,以獲得未經授權的存取。詐騙攻擊會危害驗證機制,讓攻擊者偽裝成合法的使用者或裝置。
竄改:竄改是指未經授權更改資料或程式碼。這類攻擊會修改執行中的應用程式中的檔案、資料庫、軟體程式碼、部署管線或記憶體,進而損害資料完整性。篡改在每個系統中都帶來嚴重風險,尤其是資料準確性對於決策至關重要的系統。
譴責:譴責威脅會利用問責制的落差。當使用者或系統拒絕執行特定動作,例如交易時,就會發生這種類型的安全威脅。這種威脅利用軟體系統中缺乏不可否認的控制,使得各方難以對其行為負責。
資訊揭露:這是指機密或敏感資訊意外暴露給未經授權方。這可能是因為加密不足、存取控制不當,或是網路應用程式的漏洞所造成。
拒絕服務(DoS):此類安全威脅旨在透過過度請求或利用系統漏洞來壓倒系統,從而中斷服務的可用性。DoS 攻擊使系統無法供合法使用者使用,並造成業務中斷。
提升特權:當攻擊者獲得比預期更高的存取權限時,就會發生這種情況,通常是利用系統弱點。這可能導致系統受到管理層級的控制,讓攻擊者得以安裝惡意軟體、修改系統設定,或存取敏感資料。
詐騙
詐騙是指冒充其他裝置或使用者欺騙系統或個人的行為。這可能涉及偽造身分資訊,例如 IP 位址或電子郵件標題。詐騙所帶來的威脅相當重大,因為這可能導致未經授權的存取、資料外洩,以及資訊遭到操縱。當攻擊者成功欺騙身分時,他們很容易繞過旨在保護敏感系統的安全措施。詐騙攻擊的常見例子包括電子郵件詐騙,攻擊者傳送看似來自可信任來源的訊息,以及 IP 詐騙,這可能會讓惡意使用者躲避偵測。這些攻擊的潛在影響範圍從財務損失、聲譽受損,到個人資料遭入侵。
竄改
竄改是指未經授權更改資料或系統配置,其中可能包括變更檔案、修改軟體程式碼,或干擾傳輸中的資料。這種行為會破壞軟體系統的完整性,導致不正確或惡意的資料,進而導致系統行為或決策錯誤。這類變更會破壞使用者的信任,並可能違反法規遵循規定。篡改的例子是攻擊者更改軟體更新的內容,或操縱資料庫中的交易記錄。這些攻擊的後果可能很嚴重,導致財務損失、法律後果,並嚴重損害品牌聲譽。
譴責
在網路安全方面,譴責描述使用者拒絕在系統內執行動作的能力,通常是因為缺乏可靠的證據或記錄。這為責任制和不否認性帶來了挑戰,因此很難追溯到用戶。 在電子商務、金融或法律系統中,譴責可能特別造成問題,其中交易記錄必須可靠。舉例來說,當使用者聲稱自己並未授權交易時,若記錄不足,可能會妨礙調查與安全政策的執行。這類譴責攻擊的影響可能導致交易糾紛、詐騙機會增加,以及安全性協定削弱,所有這些都可能損害系統的整體完整性。
資訊揭露
資訊揭露涉及未經授權存取或暴露敏感資料給非意圖接收資料的個人或實體。這種未經授權的存取會構成嚴重威脅,因為這可能導致身分盜用、企業間諜活動,以及違反隱私法規。資料的機密性受到破壞,這可能會對個人和組織造成持久的影響。資訊揭露通常出現在微服務、雲端設定錯誤暴露、API 資訊洩漏和快取時間攻擊的側通道攻擊中。資訊揭露的常見目標包括個人資料、商業機密和智慧財產,這可能導致監管罰款和聲譽受損。
資訊揭露攻擊的範例包括導致敏感客戶資訊外洩的資料外洩,或是設定錯誤的雲端儲存,進而暴露私有資料。潛在影響包括財務損失、法律責任,以及對消費者信任的嚴重打擊。
拒絕服務
拒絕服務(DoS)是指旨在讓目標使用者無法提供服務的攻擊,其目的為讓其無法承受流量或利用弱點。這類攻擊會中斷軟體系統的可用性,使合法使用者無法存取。後果可能包括停機時間、收入損失,以及組織聲譽受損。DoS 攻擊的一個常見例子是分散式阻斷服務 (DDoS) 攻擊,其中有多個系統攻擊目標伺服器,使流量滿溢。這些攻擊的影響可能相當大,導致營運中斷,並帶來重大的財務成本,可能需要花費大量時間才能恢復。
提升特權
提升權限是指安全漏洞,讓使用者在未經授權的情況下存取系統內的高階功能或資料。這種存取方式會造成嚴重威脅,讓攻擊者能夠操控敏感資料、執行管理命令,或損害系統完整性。舉例來說,權限攻擊的提升可能涉及利用軟體漏洞來取得管理權限,或利用社交工程策略誘騙使用者授予更高的存取權限。這類攻擊的潛在影響可能相當深遠,導致資料外洩、系統損毀,以及對組織安全性造成大規模損害,因此組織必須優先考慮有效的安全措施。
執行 STRIDE
我們可以透過 STRIDE 在下列階段對威脅模型的實施進行廣泛分類:
第 1 階段:系統分解
將軟體架構分解為不同的元件,例如伺服器、資料庫、API 和使用者介面。這有助於找出威脅可能鎖定的進入點和資產。
- 為您的系統建立資料流程圖(DFD)。
- 確定信任界限。
- 規劃系統元件及其互動。
- 文件驗證和授權點。
第二階段:威脅分析
對於每個已識別的元件,根據 STRIDE 類別分析潛在威脅。例如,檢查驗證機制是否容易遭到詐騙,或資料儲存方法是否容易遭到竄改。
對於每個組件:
- 套用 STRIDE 類別。
- 使用威脅樹來識別攻擊媒介。
- 考慮業務影響。
- 記錄假設和相依性。
第三階段:緩解計劃
針對每項威脅,開發相應的安全控制。技術可能包括執行強力驗證以防止詐騙、使用數位簽章防止竄改,或實施速率限制以防範 DoS 攻擊。
建立緩解策略,包括以下內容:
- 技術控制
- 程序保障
- 監控需求
- 事件回應程序
STRIDE 實作的現代化工具
商業工具
- Microsoft 威脅模型工具:此工具可讓使用者建立軟體系統的視覺呈現,並根據 STRIDE 框架識別威脅。
- IriusRisk:此工具提供自動化的威脅建模和風險評估功能,可與現有的開發工作流程整合。
- 威脅模型:這種雲原生威脅建模工具有助於識別和評估架構設計中的安全威脅,從而實現開發過程中的協作和整合。
開源替代方案
- OWASP 威脅龍:這種開源威脅建模工具支援繪製軟體架構圖,並評估安全威脅。
- PyTM:這套以 Python 為基礎的威脅模型架構,能讓使用者透過程式設計定義系統及其潛在威脅,輕鬆自動化並整合至現有的開發工作流程。
- ThreatSpec:這套基礎架構即程式碼的威脅建模工具,能讓使用者直接在程式碼內定義和分析安全風險,進而強化安全性,簡化雲端和就地部署環境中的弱點識別。
使用 STRIDE 威脅模型的優勢
在銀行業,STRIDE 模式用於識別網路銀行應用程式的潛在威脅。透過分類詐騙和資訊揭露等威脅,銀行可以實施多重要素驗證和加密等措施,以保護客戶資料。同樣地,在醫療產業中,醫院利用 STRIDE 框架來保護儲存在電子健康記錄(EHR)中的患者資訊。這種威脅模型有助於保護資料傳輸管道,並確保只有授權人員才能存取敏感資訊。雲端服務供應商也利用 STRIDE 來評估多租戶環境中的威脅,並識別篡改和提升特權等風險。如此一來,他們就能實施嚴格的存取控制與加密,以有效隔離客戶資料。
STRIDE 威脅模式為軟體開發和網路安全提供了幾項優勢,例如:
- 主動式安全性:在 SDLC 中及早識別威脅,可在部署前整合安全措施,降低弱點在生產中被利用的可能性。
- 全面風險評估:這六種威脅類別涵蓋了各種安全層面,確保全面評估軟體的安全狀態。
- 增強安全意識:透過使用 STRIDE,開發團隊可以更深入了解潛在風險,在組織內培養以安全為中心的文化。
- 符合成本效益的緩解措施:在設計階段解決資安問題的成本通常比在部署後修復漏洞要低。STRIDE 讓組織能夠及早實施有效的對策,節省時間與資源。
- 改善法規合規性:對於需要嚴格遵守資料保護法律和標準的行業(如 GDPR、HIPAA),使用 STRIDE 有助於證明對安全和風險管理的承諾。
結論
威脅模型是威脅偵測的子集,可協助安全團隊跟上攻擊數量和複雜度的增加。隨著系統變得越來越複雜,威脅也越來越複雜,STRIDE 的結構化方法變得越來越有價值。組織必須調整 STRIDE 的實施方式,以應對新興威脅,同時維持系統化威脅識別和緩解的核心原則。透過理解並正確實施 STRIDE,組織可以更好地保護其資產,保持客戶信任,並確保在日益充滿敵意的數位環境中業務永續性。
Pure Storage 透過 Evergreen® 基礎架構,提供安全第一的運算與儲存解決方案,包括 ActiveDR 與 ActiveCluster 與 SafeMode 快照等。這些解決方案有助於正確實施 STRIDE 等安全框架,提供基礎技術,以確保模型定義的實踐有效且成功。
