- 零信任網絡:在不可信網絡中構建安全系統(第2版)
- (美)拉齊·賴斯 (美)克里斯蒂娜·莫里洛 (美)埃文·吉爾曼 (美)道格·巴斯
- 2248字
- 2025-07-11 16:41:31
2.1 威脅模型
設計安全架構時,第一步是定義威脅模型。威脅模型列舉了潛在的攻擊者及其能力、資源和想要攻擊的目標,它通常指出了哪些攻擊者在考慮范圍內,以便合理地選擇緩解攻擊的措施,即先應對能力較弱的攻擊者,再應對更為棘手的攻擊者。
明確的威脅模型是很有用的工具,有助于確定緩解攻擊工作的重點。與完成大多數工程任務一樣,搭建安全系統時,往往也傾向于將重點放在易被迷惑的方面,而忽略了雖然枯燥無味卻很重要的方面。對搭建安全系統來說,這種傾向尤其令人擔憂,因為攻擊者很快就會重點攻擊這種系統中最薄弱的環節。因此,威脅模型提供了相關的機制,讓我們能夠關注具體的威脅,并全面緩解相關的攻擊。威脅模型還有助于確定安全動機的輕重緩急。如果系統的安全措施連對付簡單的用戶密碼暴力破解攻擊都無能為力,那么考慮如何防范國家層面的攻擊者就毫無意義。因此,在構建威脅模型時,先要考慮的是能力較低的攻擊者,這一點非常重要。
2.1.1 常用的威脅模型
在網絡安全領域,有很多威脅建模方法,下面是常用的6種方法:
● STRIDE;
● DREAD;
● PASTA;
● Trike;
● VAST;
● MITRE ATT&CK。
不同的威脅建模方法提供了不同的威脅空間探索框架,但目標是一致的:列舉系統面臨的威脅以及用于緩解這些威脅的系統和流程。不同的威脅模型從不同的角度處理問題,有的建模系統專注于被攻擊者視為目標的資產;有的分別審視每個軟件組件,并列舉可能對其發起的所有攻擊;還有的從攻擊者的角度審視整個系統,分析攻擊者將如何滲透它。這些方法都有其優缺點,為制定多樣化的緩解策略,理想的做法是結合使用這3種方法。
如果審視基于攻擊者的建模方法,可將攻擊者分成如下幾類。注意,這里按能力(威脅程度)從低到高排列。
● 撞大運型攻擊者:這種攻擊者又被稱為腳本小子,他們不是高明的攻擊者,只是利用眾所周知的漏洞發起漫無目的的攻擊。
● 目標明確的攻擊者:針對特定的目標發起有針對性的攻擊,魚叉式網絡釣魚和商業間諜活動都屬于這種類型。
● 內部威脅:擁有憑證的系統日常用戶,如外包人員和無特權企業員工。
● 受信任的內部人員:得到高度信任的系統管理員。
● 國家層面的攻擊者:有外國或本國政府背景的攻擊者,有大量資源和高超的能力可供用來對目標發起攻擊。
按這種方式對威脅進行分類,有助于就如何緩解特定等級的威脅展開討論。2.1.2節將討論零信任模型針對哪種程度的威脅。
威脅和漏洞
威脅和漏洞看似是同義詞,但在安全領域,這兩者之間存在根本性區別。威脅指的是可能對寶貴資源帶來負面影響的事件(這些事件可能基于硬件、軟件、人員、流程甚至自然產生的);而漏洞指的是資源或其周邊環境存在的讓威脅得以發生的缺陷。
必須將漏洞記錄下來并加以管理,這至關重要。為此,諸如NIST等標準組織及MITRE等非營利組織提供了用于評估和管理漏洞的倉庫和程序。
● 通用漏洞評分系統(Common Vulnerability Scoring System,CVSS):NIST開發的漏洞管理系統,得到了廣泛使用。CVSS評估信息安全漏洞的嚴重程度,被眾多漏洞掃描工具使用。
● 通用漏洞披露(Common Vulnerabilities and Exposures,CVE):MITRE維護的公開發布的漏洞和披露清單。
● 美國國家漏洞數據庫(National Vulnerability Database,NVD):NIST維護的一個數據庫,與MITRE CVE清單完全同步。
2.1.2 零信任威脅模型
RFC 3552描述了互聯網威脅模型,而零信任網絡通常按照這個模型描述安全態勢。建議完整地閱讀該RFC,下面摘錄了其中的一些內容。
互聯網環境下的威脅模型很容易理解。通常情況下,假設參與協議交互的端點系統本身未被攻陷。在其中一個端點系統已被攻陷的情況下,要防范攻擊將極其困難,但可設計相關的協議,以最大限度地降低在這種情況下遭受的破壞程度。
相反,對于終端系統使用的通信信道,我們假定它們幾乎被攻擊者完全控制。這意味著攻擊者能夠讀取網絡上的任何協議數據單元(Protocol Data Unit,PDU),還能夠在不被發現的情況下刪除和篡改數據包,以及在線路上偽造數據包(包括生成看起來像是來自可信計算機的數據包)。因此,即便你要與之通信的端點系統本身是安全的,互聯網環境也無法保證那些宣稱來自該端點系統的數據包確實來自該端點系統。
零信任模型需要控制網絡中的端點,因此它擴展了互聯網威脅模型,假定端點本身可能已被攻陷。
面對可能被攻陷端點的威脅,通常的應對策略是未雨綢繆地加固端點系統,再檢測威脅,這包括設備掃描以及對設備活動進行行為分析。另外,為防范端點受到威脅,還需定期升級端點設備上安裝的軟件、定期自動輪換憑證,在有些情況下,還需定期輪換端點設備本身。
基本上無法抵御擁有無限資源的攻擊者,零信任網絡考慮到了這一點,因此其目標不是抵御所有的攻擊者,而是抵御常見的攻擊者。
基于前面對攻擊者能力的討論,零信任網絡的目標通常是緩解來自如下范圍的攻擊者的攻擊:從撞大運型攻擊者到受信任的內部人員。大多數組織遭受的攻擊不會超出上述范圍,因此只需制定針對這些攻擊者的緩解措施,就可防范大部分威脅,極大地改善組織的安全態勢。
零信任網絡通常不會力圖去防范所有有國家背景的攻擊者,但確實會力圖去防范對系統發起的遠程攻擊。有國家背景的攻擊者資金充沛,因此對于他們發起的很多攻擊,資金有限的組織根本無法抵御。另外,當地政府能夠合法地訪問眾多系統,而這些系統正是組織確保其網絡安全的根基。
要抵御這些不那么常見的威脅,需要付出極其高昂的代價——必須使用專用的物理硬件,因此大多數零信任網絡沒有在其威脅模型中涵蓋極端的攻擊方式,如將漏洞注入虛擬機監視器,以復制虛擬機的內存頁面。雖然零信任模型依然提倡遵循最佳安全實踐,但只要求確保用于認證和授權的信息(如磁盤上的憑證)的安全性。至于對端點設備的其他要求,如全磁盤加密,可使用其他的策略來實現。