常见威胁建模介绍、应用场景介绍及对比

在软件安全领域，除了 STRIDE 模型，还有多种威胁建模方法，它们适用于不同的场景和需求。以下是几种常见的威胁建模方法及其特点、应用场景和优缺点分析：

一、PASTA（Process for Attack Simulation and Threat Analysis，攻击模拟与威胁分析流程）

核心思想

以风险为中心，结合业务目标和资产价值，通过模拟攻击路径分析威胁，强调业务风险优先级和攻击者视角。

步骤

1. 定义业务目标与范围：明确系统核心资产和业务流程。
2. 资产识别与风险评估：量化资产价值，识别潜在威胁。
3. 攻击场景建模：模拟攻击者可能的入侵路径（如权限提升、数据窃取）。
4. 脆弱性分析：匹配攻击路径与系统脆弱性。
5. 风险优先级排序：基于业务影响制定防御策略。

应用场景

• 金融、医疗等对风险敏感的行业，需平衡安全与业务需求。
• 复杂系统（如企业级架构、供应链系统）的深度风险分析。

优点

• 结合业务逻辑，风险评估更贴合实际需求；
• 强调攻击者动机和能力，防御策略更具针对性。

缺点

• 流程复杂，需跨部门协作（业务、安全、开发）；
• 对分析师的经验和攻击知识要求较高。

二、DREAD（Damage potential, Reproducibility, Exploitability, Affected users, Discoverability，威胁风险评估模型）

核心思想

通过量化评分评估威胁的风险等级，重点回答：“如果威胁被利用，会造成多大影响？”

评估维度

1. 损害潜力（Damage potential）：0-10 分（如数据泄露、服务中断）；
2. 重现性（Reproducibility）：攻击者复现攻击的难易程度（0 = 无法复现，10 = 极易复现）；
3. 可利用性（Exploitability）：攻击所需技术难度（0 = 需复杂条件，10 = 简单脚本）；
4. 受影响用户（Affected users）：受影响用户比例（0 = 无，10 = 全部用户）；
5. 可发现性（Discoverability）：攻击者发现漏洞的难易程度（0 = 极难，10 = 公开信息）。

应用场景

• 快速评估已识别威胁的优先级，辅助资源分配；
• 敏捷开发中对漏洞进行轻量化风险排序。

优点

• 评分体系简单直观，适合快速决策；
• 可与 STRIDE 结合使用（如先用 STRIDE 识别威胁，再用 DREAD 评分）。

缺点

• 仅用于风险评估，不涉及威胁识别和建模过程；
• 依赖主观评分，可能存在偏差。

三、VAST（Visual, Agile, and Simple Threat modeling，可视化敏捷简单威胁建模）

核心思想

以可视化工具（如流程图、数据流图）为核心，通过简单流程快速识别威胁，强调敏捷开发中的易用性。

步骤

1. 绘制系统架构图：用图形化方式表示组件、数据流和交互点；
2. 识别威胁点：在图中标注可能的攻击面（如接口、数据存储）；
3. 分类与优先级排序：基于 STRIDE 或自定义维度分类，标记高风险点。

应用场景

• 中小型团队或敏捷开发流程，需快速完成威胁建模；
• 非技术人员（如产品经理）参与的威胁分析会议。

优点

• 可视化降低理解门槛，适合跨团队协作；
• 流程轻量，可在几小时内完成建模。

缺点

• 深度不足，难以应对复杂系统的多层级威胁；
• 依赖绘图工具和团队的可视化表达能力。

四、Attack Tree（攻击树模型）

核心思想

用树状结构描述攻击目标与手段的逻辑关系，从 “目标” 倒推 “攻击路径”，强调攻击可行性分析。

构建方法

• 根节点：攻击目标（如 “窃取用户密码”）；
• 子节点：实现目标的具体手段（如 “钓鱼攻击”“暴力破解”“漏洞利用”）；
• 叶子节点：最底层的攻击步骤（如 “发送钓鱼邮件”“爆破加密哈希”）。

应用场景

• 分析特定攻击场景的可能性（如 “如何入侵支付系统”）；
• 评估防御措施的有效性（如增加多因素认证可切断哪些攻击路径）。

优点

• 逻辑清晰，便于分析攻击链的层级关系；
• 可量化计算攻击成功概率（如结合各子节点的可能性）。

缺点

• 需预先明确攻击目标，难以覆盖未知威胁；
• 复杂系统的攻击树可能过于庞大，维护成本高。

五、OWASP Threat Modeling（OWASP 威胁建模指南）

核心思想

基于 OWASP 的安全标准和最佳实践，提供标准化的威胁建模流程，强调与开发流程整合。

关键步骤

1. 定义系统范围与资产：明确边界、组件和敏感数据；
2. 威胁识别：结合 OWASP Top 10 漏洞、STRIDE 或自定义威胁列表；
3. 风险评估：使用 DREAD 或定性分析确定优先级；
4. 制定缓解措施：参考 OWASP 防御指南（如输入验证、加密技术）。

应用场景

• 合规性要求高的行业（如医疗、政务）；
• 需遵循 OWASP 标准的开发团队。

优点

• 整合权威安全资源，防御策略具有行业通用性；
• 流程全面，覆盖从需求到开发的全生命周期。

缺点

• 灵活性较低，需投入较多时间学习 OWASP 框架；
• 对小型项目可能过于繁琐。

六、CARVER（Criticality, Accessibility, Recoverability, Vulnerability, Exploitability, Recognition，关键资产风险评估模型）

核心思想

针对物理安全与基础设施，评估资产的脆弱性和攻击价值，常用于工业控制系统（ICS）或物联网（IoT）。

评估维度

1. 关键性（Criticality）：资产对业务的重要性；
2. 可访问性（Accessibility）：攻击者接触资产的难易程度；
3. 可恢复性（Recoverability）：攻击后恢复的成本与时间；
4. 脆弱性（Vulnerability）：资产存在的漏洞数量与严重程度；
5. 可利用性（Exploitability）：攻击技术的成熟度；
6. 识别性（Recognition）：资产是否容易被攻击者发现。

应用场景

• 能源、制造业等涉及关键基础设施的领域；
• 评估物理设备（如传感器、工业控制器）的安全风险。

优点

• 专注于资产的物理属性和业务影响，贴合工业场景；
• 可与威胁情报结合，分析针对性攻击（如 APT）。

缺点

• 对软件层面的威胁（如代码漏洞）覆盖不足；
• 需结合其他方法（如 STRIDE）完成全栈安全分析。

七、威胁建模方法对比与选择建议

方法	核心优势	适合场景	团队要求
STRIDE	分类清晰，适合快速识别技术威胁	软件开发全阶段，尤其是需求分析	需技术背景，适合中小型团队
PASTA	以业务风险为中心，攻击者视角	复杂系统、高风险行业（金融、医疗）	跨职能团队，需业务与安全专家
DREAD	量化评分，快速优先级排序	漏洞评估、资源分配决策	简单培训即可使用
VAST	可视化与敏捷性	跨团队协作、快速建模（如头脑风暴）	非技术人员可参与
Attack Tree	逻辑树状结构，攻击路径分析	特定攻击场景模拟、防御有效性评估	需攻击知识，适合安全专家
OWASP	标准化与合规性	遵循行业标准的大型项目	需学习 OWASP 框架
CARVER	物理资产与业务影响评估	工业控制、物联网设备安全	结合物理与网络安全经验

八、总结

选择威胁建模方法时，需结合项目规模、行业特性和团队能力：

• 小型项目或敏捷开发：优先使用 STRIDE+VAST/DREAD，快速识别威胁并排序；
• 复杂系统或高风险行业：采用 PASTA 或 OWASP，深度整合业务与安全流程；
• 特定场景分析：用 Attack Tree 模拟攻击路径，CARVER 评估物理资产风险。
  实际应用中，常结合多种方法（如 STRIDE 识别威胁类型，DREAD 评估风险，Attack Tree 分析路径），形成互补的威胁建模体系，从而更全面地保障系统安全。