面向数据的安全威胁建模方法
2021-01-18 17:13:01 Author: www.secpulse.com(查看原文) 阅读量:268 收藏

当前,全球正处于数据变革的新时代,数据正在成为组织机构核心资产,甚至已经成为关乎企业生死存亡的关键要素,雅虎、Facebook等互联网巨头都曾因数据安全问题造成的巨大损失,有效保护数据资产已经成为组织机构极端迫切需求。我国2020年7月份发布的《中华人民共和国数据安全法》(草案)从国家层面要求数据实行分级分类保护,将数据安全保护提升到了法律高度。为了提升组织规避安全风险能力,多数组织会使用微软的安全威胁建模方法,该方法是面向系统安全漏洞的分析方法,对于数据的安全威胁分析存在不足,安全威胁分析人员需要一套针对数据威胁的建模方法,帮助组织识别数据面临的可见和潜在安全风险,建立系统化数据安全防御体系。

1. 管理数据安全风险

通过数据安全威胁建模,有助于在系统研发过程的早期识别出数据面临的风险,在系统的生命周期过程中对数据安全风险进行跟踪和管理,避免数据安全风险被遗漏,规避数据安全漏洞被利用对组织造成的影响。

2. 指导数据安全设计

在系统的设计阶段对数据的安全风险进行审视,可指导研发人员在进行编码之前发现数据安全威胁,并设计有效的消减措施,减少在编码、测试、运维等后续阶段修复问题带来的人员、时间和资金成本。

3. 减少数据暴露范围

分析数据面临威胁及可能受到的攻击,有助于降低数据对外暴露的范围,从而降低数据被泄露或破坏的可能性及影响。

1. 原则一:持续迭代分析过程

根据微软对安全威胁建模的定义,威胁建模是一个持续迭代过程。数据安全威胁建模与系统安全威胁建模面临的困难相同,一是不可能一次性识别出所有的威胁,二是跟随系统演进需重复分析过程,以适配持续变化的业务需求,因此数据安全威胁建模也是一个进行持续迭代过程,输出数据安全风险和消减措施融入安全威胁建模过程。

2. 原则二:区分数据资产价值

任何组织的数据资产都是庞大而杂乱的,全部实施高标准的防护措施既不现实也无意义。合理的做法从关键业务功能出发,依据数据丢失造成的直接和间接的收入损失、丧失的竞争优势、违反的合同协议、下降的公众声誉和客户信心等维度对数据资产价值进行综合评估,根据数据资产价值区分数据资产保护的优先级别,设定不同防护层级的技术指标。

3. 原则三:覆盖数据生命周期

数据从产生到传输、存储、使用、共享,直至最后销毁,在整个生命周期中会面临不同的安全风险,只有依次分析每个阶段数据处理的方法,该方法存在哪些脆弱性,被利用会产生何种影响,系统需要采取何种安全措施等问题,才能建立全面的数据安全风险视图,建立数据安全防御体系。

一个完整的数据安全威胁建模过程包含六个步骤:标识数据资产、创建数据模型、绘制数据流图、识别安全威胁、记录安全威胁和评估安全威胁。

1. 步骤一:标识数据资产

标识数据资产阶段的目标是确定关键业务功能包含的数据内容,标识其分类、分级、用途、价值、寿命、数据处理者等属性信息,为后续建模过程提供依据。数据资产的分类分级是最重要的基础数据,组织需遵循国家和自身所处行业规定选择数据分类和分级方法,除此之外没有强制要求,组织可以根据自身业务特点,添加自定义分类。

2. 步骤二:创建数据模型

创建数据模型是以概念视图的方式,明确实体数据包含的属性和实体数据与实体数据的关系。一方面数据模型有助于威胁建模人员对数据进行适当聚类,从而避免威胁分析陷入到对庞大细节数据的重复分析中,另一方面数据模型有助于帮助业务人员与威胁建模人员进行数据沟通,帮助威胁建模人员开展安全分析,避免分析过程产生遗漏。

3. 步骤三:绘制数据流图

数据流图是系统安全威胁建模解析应用过程中的一个动作,帮助分析人员用图形化的方式标识数据流、数据存储、数据源和目标之间的关系,以便对系统进行形式化的分解。对于以数据为核心的威胁建模来说,数据流图是数据安全威胁建模的主要载体,识别数据生命周期的创建、存储、传输、使用、共享、销毁的生命周期过程,明确数据处理采用的技术、数据处理的角色和人员,为下一步识别安全威胁确定用户场景范围。

4. 步骤四:识别安全威胁

安全威胁是否能够被有效识别依赖于威胁建模人员的技术技能和组织既往的案例积累。逆向思维是威胁建模人员需要具备的特质,通过逆向思维可以设想数据处理的异常用例,发现系统的逻辑漏洞和防御弱点,进而识别出有效的安全威胁。既往案例是识别安全威胁的知识库,与案例一致的程序,存在相同威胁的可能性很高。

数据安全的威胁可以概括为数据合规性威胁、数据机密性威胁、数据完整性威胁和数据可用性威胁。

(1)数据合规性威胁

威胁概述:数据合规性威胁是指数据在全生命周期过程中违反所在地的法律法规或行业标准要求面临的处罚风险,例如在中国违反《数据安全法》或《个人信息保护法》,在欧洲违反GDPR,都将面临高额罚金处罚,甚至是刑事处罚。
产生原因:合规性威胁主要来自数据拥有者或数据传输者的法律意识不足,未能尽到应尽的数据保护责任,损害了用户的知情权、访问和更正权、数据删除权等基本权利。
消减措施:将数据处理的合法合规要求纳入组织安全治理目标,由组织的最高责任人对数据合规性负责,在制度、流程和产品开发过程中落地组织适用的数据法规条款。

(2)数据机密性威胁

威胁概述:数据机密性威胁是在数据生命周期中,被非授权人员有意访问、读取、转移和扩散,或者被授权人员无意的转移或扩散。该威胁使数据主体面临组织信息或个人隐私泄露的可能性,进而对数据主体造成经济损失、名誉损失或生活影响。
产生原因:在数据的全生命周期中的任何一个环节存在漏洞,都可能造成数据泄露风险。一些常见的数据泄露方式包括:①访问控制权限设置不当导致数据泄露,②存储介质中的明文数据被非授权读取③利用程序漏洞,如利用web页面SQL注入、命令行注入等漏洞窃取数据。④窃听网络通信⑤对已知数据进行推理分析⑥从待销毁介质中恢复数据⑦社会工程攻击等等。
消减措施:针对不同的漏洞设计相应消减措施。常见数据非法访问手段的消减措施包括:①按最小化权限原则配置访问权限,实施严格的访问控制②数据加密存储③修补程序漏洞,对输入数据进行严格校验,以防范注入类攻击④建立加密传输通道⑤对数据进行加扰或匿名化,以防范推理攻击⑥对待销毁的介质进行粉碎、消磁或化学手段进行彻底破坏⑦加强安全意识培训防范社会工程攻击。实际系统漏洞、非法访问手段和消减措施远不止上述常见案例,组织应注意案例库的收集和积累,以备应对数据机密性威胁。

(3)数据完整性威胁

威胁概述:数据完整性威胁包含三个类型,一是数据被非授权用户篡改,二是被授权用户不恰当的修改,三是在存储、使用和传输过程中造成数据多个副本不一致,这三类威胁都将破坏数据的完整性。数据完整性被破坏将改变系统的预期运行结果,破坏信息和系统的准确性和可靠性。
产生原因:数据变更管控措施不严格,系统存在漏洞,缺少对数据变更主体认证、权限验证,输入参数校验和完整性校验不严谨是造成数据完整性威胁的主要原因。
消减措施:对数据变更的主体实施身份认证以及角色权限验证,修复系统漏洞,严格校验输入参数防止注入类攻击,使用标准完整性校验算法,对存储或网络传输过程中的数据进行完整性校验,防止内外数据不一致问题发生。

(4)数据可用性威胁

威胁概述:数据可用性威胁是指数据无法被用户或实体及时和可靠的访问,当发生问题时,数据不能被安全和快速的恢复。该威胁会对生产活动造成负面影响,
产生原因:数据可用性威胁可能来自外部DOS攻击、人为数据破坏、系统故障或者自然灾害。

消减措施:针对数据可用性威胁需要在网络层面部署防火墙等流量阻断和清洗设备,加大带宽,加强系统自身在遭受攻击后的健壮性。同时对数据进行必要的备份,当出现数据异常丢失时可以迅速恢复。建设容灾系统是保持数据和系统可用性有效方法。管理层面制定业务连续性计划,建立有效的响应机制,可为上述措施有效实施提供有力保障。

5. 步骤五:记录安全威胁

本步骤以模板化的文档汇总前面步骤输出的全部威胁建模结果。文档以数据类别为中心,枚举每条安全威胁,展现威胁描述、威胁目标、攻击路径和技术、消减措施等基本属性。在此阶段,将风险评级留空,在威胁建模过程的最后阶段,当威胁建模人员对已识别的威胁列表进行优先级排序时,将使用此选项。

数据安全威胁文档举例:

图片

 6. 步骤六:评估安全威胁

期望一次性解决所有的威胁通常在经济上是不可行的,在安全威胁建模的最后一步,建模人员需对数据安全威胁列表进行优先级排序,根据组织所处的安全环境和能提供的安全投入,优先解决风险等级较高的威胁,威胁发生的可能性较小以及造成的损害较小的威胁组织可以排定计划,分级分批逐步解决。

本文借鉴微软系统安全威胁建模方法,针对数据面临的特殊安全威胁,分析了数据安全威胁建模的价值和意义,提出了面向数据的安全威胁建模方法。无论是系统安全威胁建模还是数据安全威胁建模,都不可能一蹴而就,只有得到组织的重视与持续投入,由安全专业人员持续迭代分析,遵循形式化的分析过程,才能规避组织的数据安全风险,构建安全的数据环境。

参考资料:

[1]ImprovingWebApplicatioinSecurity:Threatsand Countermeasures [J]  Microsoft Co.Ltd

[2]MichaelMuckin,ScottC.FitchAThreat-DrivenApproachtoCyberSecurity[J]Lockheed Martin Corporation

[3]ShonHarris,FernandoMaymi,唐俊飞 CISSP认证考试指南 第7版 [M] 清华大学出版社

李伟东/中孚信息(北京)研究院

本文作者:中孚信息

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/151473.html


文章来源: https://www.secpulse.com/archives/151473.html
如有侵权请联系:admin#unsafe.sh