东森平台

首页 > 关于东森平台 > 新闻动态 > 深度解读

前沿思考 | 5G时代，网络宁静威胁建模的“道”与“术”

宣布时间 2020-12-10

威胁建模作为5G时代网络宁静实践的起点，与传统的威胁建模有何异同？一起来看东森平台专家团专家们如何解读其中的“道”与“术”。

当前，我们正处于数字经济转型和不停升级的时代，5G成为万物互联的纽带和融合创新的驱动力，5G网络的这些特点和业务属性决定了其宁静的须要性和重要性，网络宁静威胁建模是进行网络宁静最佳实践的起点和重要环节。本文一方面介绍了业界成熟的威胁建模要领的6个步骤，另一方面论述了如何将此要领应用于5G网络威胁建模的具体实践。

5G网络宁静，是我们配合面临的全球性问题

5G网络接纳基于服务的架构SBA，基于云原生（Cloud Native）、用户平面和控制平面解耦，具有云化、软件界说、可编程和服务能力开放的特点。5G网络在造福社会、撬动社会厘革的同时，也引发了新的网络宁静风险，5G 网络宁静成为我们配合面临的全球性问题。

网络宁静建设的第一步就是需要明确其面临的威胁和风险，而威胁建模是识别和梳理威胁的成熟做法。因此，需要利用威胁建模的要领和工具，紧密结合5G网络新业务、新架构、新技术和富厚的场景，全面地进行5G网络宁静威胁建模事情，详细地梳理威胁，完整地展现5G网络所面临的威胁面和入侵面。

业界成熟的STRIDE-LM威胁建模要领

威胁建模是对网络入侵者接纳主动积极防御的一项工程要领，是网络宁静最佳实践事情的起点和要害阶段。威胁建模让宁静专家站在入侵者角度思考问题，并更好地了解如何访问网络和系统，使我们可以清楚地预见其破坏面，并绘制出系统可能包罗的差异威胁、入侵、漏洞和对策，从而接纳积极防御、主动防护、有理有据的风险管理计谋。

微软开发的STRIDE模型考虑了多种威胁类型的影响，在分析活动中，结合威胁情报、资产、入侵面等多种因素，综合考虑种种威胁及其原因和结果。为了能够更全面地发现并描述威胁和入侵目标的原因、路径和结果，需要分析入侵链的上下文。这里增加一种附加的威胁类型：横向移动（lateral Movement, LM）形成STRIDE-LM模型。STRIDE-LM威胁建模要领是一个不停迭代不停循环的动态要领，核心流程包罗如下6个步骤，一是识别资产，二是识别威胁加入者或威胁因素，三是剖析系统界说入侵面，四是威胁行为分类，五是威胁评估和评价，六是威胁控制措施。如图所示：

威胁建模要领论（Threat Modeling Methodology）

1、识别资产，梳理资产台账，明确威胁工具和�；すぞ�

信息资产作为对组织具有价值的信息或资源，是宁静计谋�；さ墓ぞ�，需要梳理清楚，记录资产类型，形成资产台账，并指定这些资产在系统或环境中位置，而且随着业务应用的变化而动态更新。针对所识别出的资产，建立对于入侵行为的开端认识。

2、列出威胁因素

确定要入侵该系统的实体以及原因，包罗动机、技能水平、资源和目标等特征，并将这些因素一一列出。结合威胁情报，考虑差异的威胁加入者类型将如何破坏目标资产。

3、剖析系统，界说入侵面

建立了业务架构和技术架构的全貌之后，梳理业务逻辑、服务工具、界限，并基于所收集的信息将应用法式、系统、环境、组件剖析为分层视图。在整体视图上映射与之通信的应用法式、系统等元素，然后界说入侵面。入侵面将资助界说系统和信任界限，输出文档化的入侵面界说，利用文档化的入侵面和剖析的系统以及主要用例来记录入侵路径，捕捉这些路径中包罗的功效组件、信任域和信任界限，包罗现有的宁静控制和服务。同时考虑相同路径上可能存在的多种入侵要领，这些路径包罗物理路径和逻辑路径。在这个阶段，通�；嵘墒萘鞒掏迹―ata Flow Diagram）或一组DFD。

4、威胁行为分类，使用适合于系统和组织的分类法对威胁进行分类。

对威胁进行分析和分类，确保充实理解每种威胁的原因。

凭据资产性、威胁发生的可能性，结合威胁情报等因素对威胁所带来的风险严重性进行评估、比力，确定优先级排序。

5、威胁控制措施

威胁建模的最后一个阶段是选择和实施宁静控制措施，以缓解、消除或控制在软件开发或工程事情中发现的威胁，并评估现有控制措施的有效性。威胁控制措施的选择和实施效果评估的控制功效包罗收集、检测、防护、管理和响应5个环节，将这5个环节的事情进行迭代和循环使用，直到能够接受残余风险。

最后，通过考量人员、流程和技术多个维度差距来实施威胁控制措施，同时对这些差距的识别可以增强对潜在风险项目的认识与理解，从而转化为全面风险管理的源动力。

基于STRIDE-LM的5G网络宁静威胁建模

遵循STRIDE-LM威胁建模要领论6大阶段的要害行动对5G网络实施威胁建模，下面进行详细地论述。

1、识别资产

资产是对组织具有价值的信息或资源，是宁静计谋�；さ墓ぞ�。除了对组织有价值之外，资产还有助于履行执法义务。在5G网络中，资产包罗但不限于如下几种：

a）硬件，软件和通信组件

b）通信链接

c）控制系统功效，由系统发生和/或使用或在系统内部流动的数据

d）5G系统的物理基础架构

e）与系统交互并可能影响其操作的人员（例如，用户，系统管理员等）

由于其价值，数字资产成为威胁行为者的目标，5G资产分为两大类：

识别资产（Identity Assets）

2、识别威胁因素

威胁可以通过威胁主体、资源、动机、途径等多种属性来描述，造成威胁的因素可分为人为因素和环境因素。威胁作用形式可以是对信息系统直接或间接的入侵，可能是偶发的或蓄意的事件，对机密性、完整性或可用性等方面造成损害。

5G网络的威胁加入者分为两大类：

威胁加入者（Threat Vectors）

5G网络面临的威胁是4G网络威胁和5G自身新威胁的累加。

5G网络威胁（5G Cyber Threats）

3、界说入侵面

5G网络的袒露范围会随着所承载的垂直行业的变化而越来越大，要害资产的数量因新业务而激增，入侵面也会因此变的动态而扩大。

剖析5G网络结构，将入侵面梳理清楚就变得尤为重要�；�5G网络结构整体视图，绘制用例或用例集的数据流程图DFD，同时，结合威胁和威胁情报逐步得到5G网络的入侵面。

5GDFD和入侵面（5G DFD and Attack Surfaces）

4、威胁分类

这里以STRIDE-LM模型作为威胁行为分类的依据，具体如下表所示。

表.1-威胁，宁静属性和控制措施（Tab.1-Threat Categorization, Security Properties）

凭据表1，可以梳理出5G网络威胁分类的完整列表，样例如表2所述：

表.2-5G威胁威胁分类，宁静属性（Tab.2-5G Threat Categorization, Security Properties）

5、威胁评估和评价

凭据威胁造成的危险对其进行评价，这样就能够优先解决最大的威胁，其次再解决其它威胁。实际上，解决所有找出的威胁几乎是不行能的也不须要，要害是要有决策依据而忽略掉一些，因为它们发生的机会很小，即使发生，带来的损失也很小，可以接受残余风险。

现在，我们可以将单个事件的损失（SLE）与事件发生可能性（ARO）结合起来，以获得年度预期损失（ALE）。

ALE体现针对特定资产的给定威胁多年以来的年平均损失，其公式为：SLE *ARO = ALE

潜在损失*发生的可能性=预期损失（危险水平）

这种评价方式很容易理解，发生概率大，潜在损失也大的威胁肯定危险品级最高；而发生概率低，潜在损失也低的威胁危险品级最低。发生概率大损失小或者发生概率小损失大的，危险品级就居中。进行STRIDE-LM威胁分析时可以使用这种简单的评价方式，评价简洁实施容易，但由于评价尺度单一，对于有争议的威胁，如果泛起各人对危险品级的评级意见不统一的情况，则跨部门多方相同协商而定。

表.3-5G网络威胁评价样例

6、威胁控制措施

基于前面5个阶段的事情结果，可以针对威胁评价列表中的多个威胁，实施差异的宁静控制措施，这些控制措施包罗�；�，还包罗识别、认证、检测、防护和响应等多种机制。

表.4-5G威胁，宁静属性和控制措施

通过全面了解入侵面和威胁行为者，结合控制措施和威胁情报来综合确定控制措施的有效性。5G网络威胁控制措施的有效性可与威胁评价相结合使用，并进行连续地迭代与更新。

利用5G威胁建模一方面可以作为事情抓手来推动跨部门和技术条线的5G业务合作，另一方面可以使宁静专家越发深入地理解业务和网络，并与宁静相融合，从而建立5G网络入侵面整体视图，为全面风险管理指明偏向和重点。威胁建模思想和要领可以加深我们对于5G及其宁静的理解，成为解决5G宁静问题的“道”与“术”。

|文章作者：毕亲波赵呈东|

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号