2.2.3 工业互联网安全威胁模型_工业互联网信息安全技术-QQ阅读男生科幻网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

2.2.3　工业互联网安全威胁模型

彻底消除安全威胁是不可能的，无论采取何种安全防护措施降低攻击风险，威胁都将不同程度地存在。在现实世界的网络安全部署实践中，安全防护措施都是在承认威胁存在的同时管理风险。但是，除非知道特定应用场景的威胁详情，否则无法缓解威胁可能造成的破坏。

威胁建模是信息安全领域一种有效管理和沟通风险的系统性技术，在威胁建模过程中，基于对工业互联网系统架构和工程实现的深入理解，安全防御人员可以根据威胁发生的概率来识别和评估威胁，并能够按优先顺序减轻风险，既产生成本收益，又带来防护效率。

微软公司为应用程序的开发，建立了一套威胁建模方法，可以将该方法应用于工业互联网系统中。根据微软公司的方法处理工业互联网威胁建模，其过程如图2-2所示。

图2-2　工业互联网威胁建模过程

（1）识别受保护的资产：确定必须保护的资产列表。

（2）生成工业互联网系统的总体架构图：记录整个工业互联网系统的架构，包括子系统、平台、应用程序、信任边界、控制和数据流等。

（3）分解工业互联网系统的组成元素：将此架构分解为系统剖面（应用程序、物联网端点）和基础设施（通信协议、数据中心、网络协议）组件剖面，然后基于剖面结构，为特定的工业互联网实体创建一个安全概要文件，目的是发现设计、实现或部署配置中的漏洞。

（4）识别威胁：根据攻击面和攻击向量，利用攻击树和故障树分析方法，识别出威胁。两种常用的威胁识别技术是STRIDE和DREAD，两种技术都是由微软开发的，可以把IP互联网中的应用经验在工业互联网系统中使用。

（5）记录威胁：使用一个通用威胁模板记录每个威胁，该模板定义了每个威胁要捕获的核心属性集。

（6）威胁评级：对每种威胁进行评级，并根据其影响确定威胁的优先级。评级过程可以衡量威胁对攻击可能造成的损害的概率，能够有效地引导安全投资和资源分配。威胁的评级和排名可以使用若干种因素完成，图2-3所示为基于风险的威胁分级方法，可以在工业互联网的高层次部署中应用。

图2-3　基于风险的威胁分级方法

按照建模过程，并且依据基于风险的威胁分级方法，有两种较为典型的威胁模型可以应用于工业互联网。

1. STRIDE威胁模型

STRIDE威胁模型是由微软开发的识别和分类威胁的模型，STRIDE威胁模型也被扩展到包括工业互联网威胁、物联网威胁的场景。STRIDE缩写表示以下几种类型的威胁。

• 欺骗身份（Spoofing Identity）：一种威胁形态，其中一个人或设备使用另一种用户的凭据，如登录名和密码、证书等，以获得对无法访问的系统的访问权。设备可以使用伪造的设备ID。

• 篡改数据（Tampering with Data）：更改数据并发起攻击，这些数据可能与设备、协议字段、正在运行的未加密数据等相关。

• 否认或抵赖（Repudiation）：人员或设备实体能够拒绝承认曾经参与过某一特定的交易或事件，并且无法证明。在工业互联网场景中，无法追踪到相关责任人或设备就是一种严重威胁。

• 信息披露（Information Disclosure）：向无权访问信息的个人或设备披露敏感信息，在工业互联网环境中，这可能意味着蓄谋发动攻击的对手可以访问传感器或操作数据。

• 拒绝服务（Denial of Service）：这种威胁阻止合法用户或设备访问服务器（计算）或网络资源，将工业互联网相关系统功能或性能降低到不可接受的级别的攻击，也可以被视为阻断服务攻击。

• 特权提升（Elevation of Privilege）：未经授权的用户渗透工业互联网的安全防御系统，获得足够级别的信任和访问权限，达到危害或损坏目标系统的目的。

2. DREAD威胁模型

在对威胁进行确定和分类之后，对威胁进行排序和划分优先级也很重要，必须先解决更高优先级的威胁。DREAD威胁模型是用来对威胁进行排序的，虽然最初是为子系统组件（软件、固件等）开发的，DREAD威胁模型也可用于工业互联网系统不同粒度的威胁评估。DREAD是一个缩写，代表威胁评估的五个维度。

• 损坏（Damage）：评估威胁升级为网络攻击时可能造成的损害，就工业互联网系统而言，损害可能是数据外泄、环境损害、人身伤害等。

• 可重现性（Reproducibility）：衡量特定威胁发展演变成为攻击行动的频率，一个容易复制的威胁形态有更大的机会被利用。

• 可利用性（Exploitability）：对启动攻击行动所需的人员投入、财力投资和专业技能的评估。在工业互联网领域，一些仅仅依靠低水平技能和经验就能实施的攻击威胁，比那些需要高技能人才和大量经费执行的威胁更容易被利用。值得注意的是，在工业互联网的应用中，利用漏洞通常涉及高度的复杂性和工业控制的专业知识。如果工业威胁可以被远程利用，则比需要现场、物理访问和特殊凭证的攻击更容易被利用，价值更高。

• 受影响的用户（Affected Users）：可能遭受攻击影响的用户数量是确定威胁优先级的一个重要尺度，此标准还可以扩展到包括受攻击影响的设备和资产的数量。

• 可发现性（Discoverability）：利用漏洞的可能性，在DREAD威胁模型中，根据威胁的风险值对威胁进行量化、比较和排序。可以使用以下公式计算风险值：DREAD威胁风险=（损坏+可重现性+可利用性+受影响的用户+可发现性）/5（公式中的各项需进行数值化处理）。