2.1 威脅模型

設(shè)計安全架構(gòu)時，第一步是定義威脅模型。威脅模型列舉了潛在的攻擊者及其能力、資源和想要攻擊的目標(biāo)，它通常指出了哪些攻擊者在考慮范圍內(nèi)，以便合理地選擇緩解攻擊的措施，即先應(yīng)對能力較弱的攻擊者，再應(yīng)對更為棘手的攻擊者。

明確的威脅模型是很有用的工具，有助于確定緩解攻擊工作的重點(diǎn)。與完成大多數(shù)工程任務(wù)一樣，搭建安全系統(tǒng)時，往往也傾向于將重點(diǎn)放在易被迷惑的方面，而忽略了雖然枯燥無味卻很重要的方面。對搭建安全系統(tǒng)來說，這種傾向尤其令人擔(dān)憂，因?yàn)楣粽吆芸炀蜁攸c(diǎn)攻擊這種系統(tǒng)中最薄弱的環(huán)節(jié)。因此，威脅模型提供了相關(guān)的機(jī)制，讓我們能夠關(guān)注具體的威脅，并全面緩解相關(guān)的攻擊。威脅模型還有助于確定安全動機(jī)的輕重緩急。如果系統(tǒng)的安全措施連對付簡單的用戶密碼暴力破解攻擊都無能為力，那么考慮如何防范國家層面的攻擊者就毫無意義。因此，在構(gòu)建威脅模型時，先要考慮的是能力較低的攻擊者，這一點(diǎn)非常重要。

2.1.1　常用的威脅模型

在網(wǎng)絡(luò)安全領(lǐng)域，有很多威脅建模方法，下面是常用的6種方法：

● STRIDE；

● DREAD；

● PASTA；

● Trike；

● VAST；

● MITRE ATT&CK。

不同的威脅建模方法提供了不同的威脅空間探索框架，但目標(biāo)是一致的：列舉系統(tǒng)面臨的威脅以及用于緩解這些威脅的系統(tǒng)和流程。不同的威脅模型從不同的角度處理問題，有的建模系統(tǒng)專注于被攻擊者視為目標(biāo)的資產(chǎn)；有的分別審視每個軟件組件，并列舉可能對其發(fā)起的所有攻擊；還有的從攻擊者的角度審視整個系統(tǒng)，分析攻擊者將如何滲透它。這些方法都有其優(yōu)缺點(diǎn)，為制定多樣化的緩解策略，理想的做法是結(jié)合使用這3種方法。

如果審視基于攻擊者的建模方法，可將攻擊者分成如下幾類。注意，這里按能力（威脅程度）從低到高排列。

● 撞大運(yùn)型攻擊者：這種攻擊者又被稱為腳本小子，他們不是高明的攻擊者，只是利用眾所周知的漏洞發(fā)起漫無目的的攻擊。

● 目標(biāo)明確的攻擊者：針對特定的目標(biāo)發(fā)起有針對性的攻擊，魚叉式網(wǎng)絡(luò)釣魚和商業(yè)間諜活動都屬于這種類型。

● 內(nèi)部威脅：擁有憑證的系統(tǒng)日常用戶，如外包人員和無特權(quán)企業(yè)員工。

● 受信任的內(nèi)部人員：得到高度信任的系統(tǒng)管理員。

● 國家層面的攻擊者：有外國或本國政府背景的攻擊者，有大量資源和高超的能力可供用來對目標(biāo)發(fā)起攻擊。

按這種方式對威脅進(jìn)行分類，有助于就如何緩解特定等級的威脅展開討論。2.1.2節(jié)將討論零信任模型針對哪種程度的威脅。

2.1.2　零信任威脅模型

RFC 3552描述了互聯(lián)網(wǎng)威脅模型，而零信任網(wǎng)絡(luò)通常按照這個模型描述安全態(tài)勢。建議完整地閱讀該RFC，下面摘錄了其中的一些內(nèi)容。

互聯(lián)網(wǎng)環(huán)境下的威脅模型很容易理解。通常情況下，假設(shè)參與協(xié)議交互的端點(diǎn)系統(tǒng)本身未被攻陷。在其中一個端點(diǎn)系統(tǒng)已被攻陷的情況下，要防范攻擊將極其困難，但可設(shè)計相關(guān)的協(xié)議，以最大限度地降低在這種情況下遭受的破壞程度。

相反，對于終端系統(tǒng)使用的通信信道，我們假定它們幾乎被攻擊者完全控制。這意味著攻擊者能夠讀取網(wǎng)絡(luò)上的任何協(xié)議數(shù)據(jù)單元（Protocol Data Unit，PDU），還能夠在不被發(fā)現(xiàn)的情況下刪除和篡改數(shù)據(jù)包，以及在線路上偽造數(shù)據(jù)包（包括生成看起來像是來自可信計算機(jī)的數(shù)據(jù)包）。因此，即便你要與之通信的端點(diǎn)系統(tǒng)本身是安全的，互聯(lián)網(wǎng)環(huán)境也無法保證那些宣稱來自該端點(diǎn)系統(tǒng)的數(shù)據(jù)包確實(shí)來自該端點(diǎn)系統(tǒng)。

零信任模型需要控制網(wǎng)絡(luò)中的端點(diǎn)，因此它擴(kuò)展了互聯(lián)網(wǎng)威脅模型，假定端點(diǎn)本身可能已被攻陷。

面對可能被攻陷端點(diǎn)的威脅，通常的應(yīng)對策略是未雨綢繆地加固端點(diǎn)系統(tǒng)，再檢測威脅，這包括設(shè)備掃描以及對設(shè)備活動進(jìn)行行為分析。另外，為防范端點(diǎn)受到威脅，還需定期升級端點(diǎn)設(shè)備上安裝的軟件、定期自動輪換憑證，在有些情況下，還需定期輪換端點(diǎn)設(shè)備本身。

基本上無法抵御擁有無限資源的攻擊者，零信任網(wǎng)絡(luò)考慮到了這一點(diǎn)，因此其目標(biāo)不是抵御所有的攻擊者，而是抵御常見的攻擊者。

基于前面對攻擊者能力的討論，零信任網(wǎng)絡(luò)的目標(biāo)通常是緩解來自如下范圍的攻擊者的攻擊：從撞大運(yùn)型攻擊者到受信任的內(nèi)部人員。大多數(shù)組織遭受的攻擊不會超出上述范圍，因此只需制定針對這些攻擊者的緩解措施，就可防范大部分威脅，極大地改善組織的安全態(tài)勢。

零信任網(wǎng)絡(luò)通常不會力圖去防范所有有國家背景的攻擊者，但確實(shí)會力圖去防范對系統(tǒng)發(fā)起的遠(yuǎn)程攻擊。有國家背景的攻擊者資金充沛，因此對于他們發(fā)起的很多攻擊，資金有限的組織根本無法抵御。另外，當(dāng)?shù)卣軌蚝戏ǖ卦L問眾多系統(tǒng)，而這些系統(tǒng)正是組織確保其網(wǎng)絡(luò)安全的根基。

要抵御這些不那么常見的威脅，需要付出極其高昂的代價——必須使用專用的物理硬件，因此大多數(shù)零信任網(wǎng)絡(luò)沒有在其威脅模型中涵蓋極端的攻擊方式，如將漏洞注入虛擬機(jī)監(jiān)視器，以復(fù)制虛擬機(jī)的內(nèi)存頁面。雖然零信任模型依然提倡遵循最佳安全實(shí)踐，但只要求確保用于認(rèn)證和授權(quán)的信息（如磁盤上的憑證）的安全性。至于對端點(diǎn)設(shè)備的其他要求，如全磁盤加密，可使用其他的策略來實(shí)現(xiàn)。