跳轉到

威脅建模

課程教材

威脅建模是一種資訊安全方法,旨在評估和理解系統或應用程式所面臨的潛在威脅和風險。透過威脅建模,我們可以分析系統的設計、功能和資源,以識別可能的攻擊向量和弱點。這個過程有助於組織建立有效的防禦策略,減少可能的攻擊和風險。威脅建模通常包括收集資訊、進行威脅分析、評估風險並提出改善建議的步驟。透過威脅建模,組織可以更好地保護其資訊資產,提高安全性和應變能力。

如何開始

在威脅建模中,有幾種常見的方法:

  1. 資訊收集:首先,需要收集與系統相關的各種資訊,包括系統結構、功能、資源和機敏資料等。
  2. 威脅分析:在這個階段,專注於識別可能的威脅,包括外部攻擊者、內部威脅者和自然災害等。這可以通過威脅建模工具、漏洞分析和攻擊樹模型等方法進行。
  3. 風險評估:對已識別的威脅進行風險評估,評估其可能性和影響程度。這有助於確定哪些威脅需要優先考慮以及需要採取的防禦措施。
  4. 改善建議:基於威脅分析和風險評估的結果,提出改善建議,包括加強系統設計、實施安全控制和加強監控等。

透過這些方法,組織可以更全面地了解其資訊安全風險並制定相應的對策,從而提高系統的安全性和抵禦能力。

威脅與風險有什麼不同?

在資訊安全領域中,「威脅」和「風險」是兩個核心概念,但它們之間存在著明顯的區別。

首先,讓我們來看一下「威脅」的定義。威脅是指可能對系統或資訊安全造成損害或危害的任何潛在事件、行動或情況。這些威脅可以包括來自外部攻擊者的惡意行為,例如駭客入侵、惡意軟體攻擊,也可以包括自然災害、技術故障、人為錯誤等因素。簡而言之,威脅是可能導致安全問題或損害的各種潛在因素。

另一方面,「風險」則是與威脅相關的概念,但更強調的是對安全資產的損害或損失的可能性和影響。風險是對威脅發生的可能性和潛在損害的評估。換句話說,風險是威脅造成的潛在影響的量化評估,並考慮到該影響的發生機率。

簡單來說,威脅指的是可能對系統造成損害的潛在因素,而風險則是評估這些潛在威脅造成的實際損害的可能性和影響程度。換句話說,威脅是事件的起因,而風險則是對該事件可能帶來的後果的評估。

在資訊安全管理中,了解和評估威脅風險對於制定有效的安全策略和措施至關重要。通過識別潛在的威脅,組織可以更好地了解其面臨的安全挑戰,並採取相應的防禦措施來降低風險。同時,通過對風險進行評估,組織可以優先考慮和管理最具威脅性的風險,以確保資訊系統和資產的安全性。

總之,威脅風險在資訊安全管理中扮演著不可或缺的角色,對於確保組織的資訊安全至關重要。通過了解並有效地應對威脅和風險,組織可以提高其安全性和抵禦能力,保護其重要的資訊資產免受損害。

建立您的威脅模型

威脅建模可幫助您識別對您重要的事物的威脅,以及需要保護它們的對象。在建立威脅模型時,您可以問自己以下問題。

  1. 我要保護什麼?資料?人?
  2. 我想保護它免於誰的攻擊?動機是甚麼?有甚麼能耐?
  3. 如果失敗了,後果是甚麼?這後果是可承受的嗎?
  4. 這發生的機率有多大?我有多大的必要主動保護資產?
  5. 我願意承擔多少「麻煩」來預防潛在後果呢?

我想要保護什麼?

在資訊安全的範疇中,「資產」通常是只你重視且希望受到保護東西,它可以是一個物品、設備或是無形的概念。

在公民團體的範疇中,通常需要保護的資訊可能有:電子郵件、通訊錄、位置地點、會議記錄、活動策略、成員資訊...等,這些項目尤為重要,當公民團體遭受到外部監控或威脅。

我想保護它免於誰的攻擊?

為了回答這個問題,首先需要識別可能對您或您的資訊構成威脅的人或組織。一個對您的資產構成威脅的人或被稱為「對手」。潛在的對手可以是您的老闆、前同事、您的前伴侶、商業競爭對手、您的政府,或者是網路上的駭客。

列出所有可能想要獲得您資產的對手。您的列表可能包括個人、政府機構、企業或公民團體等。根據您的對手是誰,這份列表可能在您完成威脅模型後、需要被銷毀。這是為了保護您自身及相關訊息不受到未來潛在威脅。

如果失敗了,後果是甚麼?

「對手」獲取您的資產的方式有很多種。例如:對手可能在資料傳輸過程中閱讀您的保密通訊,或者直接刪除或破壞資料。而他們的動機及策略各不相同。例如:政府為了防止警察暴力事件的影像傳播,可能刪除或降低該影片的可見程度。相對的,對手可能希望獲取秘密資訊,並在你不知情的情況下公開。

在風險評估的時候要了解如果「對手」成功獲取您的某項資產,後果可能會有多嚴重。相對的,您也應該考慮「對手」的能力,例如:手機供應商能接觸到您所有的通話紀錄。在開放的 Wi-Fi 網路連線時,駭客能夠存取您未加密的通訊。

思考一下,「對手」可以想要你的「資產」做些什麼?

這發生的機率有多大?

風險是指特定威脅對特定資產實際發生的可能性。風險與能力是相輔相成的,雖然你的手機電信服務商有能力存取你所有的通訊資料,但他們將你相關的個人資料公開在線上以傷害你的聲譽的風險、相對來說是很低的。

區分可能發生的事與其發生的概率是非常重要的。例如,你的建築物可能會倒塌,但這種情況發生的風險在臺灣(地震頻繁)遠大於斯德哥爾摩(地震罕見)。

評估風險是一個主觀的過程。許多人認為無論某些威脅發生的可能性有多小,只要威脅存在,就不值得冒這個風險。在其他情況下,可能因此忽視高風險,因為他們不認為那些威脅是問題。

記下將認真對待的威脅,以及那些可能過於罕見或無害(或太難以對抗)而不值得擔心的威脅。

我願意承擔多少「麻煩」來預防潛在後果呢?

在資安領域中,沒有完美的選擇。每個人的優先順序、關注點或資源上的使用都不相同。您的風險評估將使您能夠規劃適合自己的策略,平衡便利性、成本和隱私保護。

例如,代表客戶處理國家安全案件的律師可能願意採取更嚴格的措施來保護相關通訊,例如使用加密電子郵件,這與平常只是發送有趣貓咪影片給女兒的母親相比,所需的安全措施自然不同。

在記下您能使用的選項來幫助您降低面臨獨特威脅時,注意是否有任何財務限制、技術限制或是社會限制。

風險評估表

如何使用與執行「風險評估表」,請參考此章節。

操作手冊:風險評估表

參考資料