一种安全和威胁分类模型
创建时间: 2015-4-11 21:49 修改时间: 2015-4-12 19:36
作者:鲍旭华
本文尝试建立一个模型,描述安全和威胁的关系,并对二者分类。
一、引言
一直以来,信息安全都不被认为是一门系统性的学科,因为从技术角度来看,它包含了一系列相对独立的内容,例如密码学、认证与授权、入侵检测、隐私保护等等,每项都可以应对某些威胁。然而,构建一个安全的个信息系统,到底需要考虑安全属性?却是一个难以回答的问题。这里并不是讨论怎样构建一个绝对安全的系统,那太遥远了。笔者只是希望讨论一个思考的角度,从这个角度看安全,我们知道应该有几个方面?或者说,怎样对安全分类?
对安全的分类并不缺乏。从早期的CIA模型,到Donn Parker提出的六元组,以及RMIAS的八元组,都在进行尝试。然而,这些分类采用的都是枚举法。也就是说,保障系统的安全需要考虑这些因素,但仅考虑这些因素并不能确保系统是安全的。或者说,是必要,但不是充分的。
威胁,是安全的对立面,对其分类存在同样的难题。OWASP、WASC和CAPEC在都做了大量基础工作,但是有两方面的困难是难以克服的。一方面同样是枚举的问题;另一方面,分析威胁可以有多个角度,容易发生角度的混淆。例如,缓冲区溢出问题是从漏洞,或者说是威胁的成因角度来看;中间人攻击是威胁的方法角度;拒绝服务和信息泄漏则是从威胁的目的角度。把这些问题放在同一层面考虑,是分类的大忌。
此外,安全与威胁是一体两面,对二者的分类也应该有对应的关系。微软的STRIDE模型体现了这种思想,将六类威胁和六个安全要素对应了起来,遗憾的是依然采用了枚举的方式。
本文尝试建立一个模型,描述安全和威胁的关系,并对二者分类。
二、理想的模型
那么,想要描述安全和威胁的关系,怎样的模型才是理想的呢?笔者认为应该满足以下几个条件:
- 首先应该从单一视角进行描述和分类,防止概念混淆;
- 安全和威胁的描述和分类,应该是彼此对应的;
- 分类应该是必要且充分,也就是说从这个视角看,安全和威胁包含且只包含这几个方面;
- 分类中的任何两项应该是不存在交集的,一种威胁(安全)应当属于且只属于其中的一类。
笔者希望 建立这样一种模型。然而遗憾的是,本文提供的模型只能满足前三个条件,权且算是抛砖引玉。
三、模型的基础
看问题的视角?笔者认为,明确视角是讨论的前提,大部分分歧其实都源于视角的差异。如果希望在安全和威胁之间建立对应关系,那么该采用的视角是很明确的:目的。所以本文的所有讨论,都是从安全和威胁的目的角度进行。
什么是安全(威胁)的本质?对安全和威胁的定义并不缺乏,笔者就不在这里一一列举了,区别来源于视角的不同。那么,从目的角度看,什么是安全(威胁)的本质?在一次微信群中关于“安全是什么?”的讨论中,黄晟给出了一种对安全的表述,笔者深感认同,并给出对应的威胁表述。
- “安全的本质是保障业务的正常运行”。
- “威胁的本质是破坏业务的正常运行”。
从目的角度看,安全和威胁都与信息系统的业务紧密相关,这一点毫无疑问,安全从来都不是孤立存在的。而导致安全缺乏体系化的重要原因,就是因为业务的复杂和多样。所以想要对安全(威胁)分类,一个对业务的抽象描述是基础。笔者从两个角度对业务进行描述:类型和角色。
业务的分类?笔者认为,无论多么复杂的业务,都可以抽象为对三类问题解答:第一,我是谁?第二,我(能)知道什么?第三,我(能)做什么?所以,可以将业务分为基本的三类:
- 认证类业务(Authentication):认证用户的身份;
- 信息类业务(Information):信息的传输、存取和处理;
- 功能类业务(Function):使用者的功能操作。
业务的角色?业务可能以对等形式发生的(1对1或者P2P),也可能是以非对等形式发生的(1对N)。对于非对等服务,笔者将其中的角色分为提供者和参与者;而对于对等模式,则定义所有角色都是参与者。
- 参与者(Actor):参与或使用某种业务;
- 提供者(Providor):提供某种业务服务给多个参与者。
业务场景的分类?有了对业务类型和角色,就可以建立一个抽象的业务场景矩阵。我们就可以对每个场景,分别讨论安全和威胁的目的。每个场景根据类型和角色有一个具体的标识(例如AA表示参与者的身份认证)。
| Actor | Providor | |
| Authentication | AA:参与者彼此或者参与者向提供者证实身份。 | PA:提供者向众多参与者的证实身份。 |
| Information | AI:参与者进行信息传输和信息存取。 | PI:提供公开信息服务。 |
| Function | AF:参与者使用功能类服务。 | PF:提供公开的功能类服务 |
四、安全和威胁分类模型
有了上面的业务抽象,就可以对每个业务场景,分别描述安全和威胁的目的。为此,需要引入一个新的角色:攻击者(Intruder)。对于每个业务场景,用户和攻击者会希望自己实现业务目的,或是希望阻止对方实现。这样用户会有两个安全目的,而攻击者会有两个威胁目的,并且彼此互斥。以参与者使用认证业务(AA)为例,如下表所示:
| Actor | Intruder | |
| Succuss | AS:参与者成功证实了自己的身份。 | IS:攻击者假冒了参与者的身份。 |
| Failure | AF:参与者的身份证明被破坏 | IF:攻击者无法假冒参与者的身份。 |
其中蓝色内容表示参与者的两个安全目的,而红色内部表示攻击者的两个威胁目的。安全目的可以兼顾,威胁目的同样。但是同一列的安全和威胁目的,彼此是互斥的。例如,参与者成功证实了自己的身份(AS)和参与者的身份证明被破坏(AF)就只有一个会实现。
将这种方式推广到上一小节中列出的六种业务场景,就可以得到12个安全目的和12个威胁目的,彼此对应。每个场景根据业务场景和结果有一个具体的标识(例如AAIS表示攻击者假冒了参与者的身份)。
| Actor | Intruder | Providor | Intruder | ||
| A | Succuss | AAAS:参与者成功证实了自己的身份。 | AAIS:攻击者假冒了参与者的身份。 | PAPS:提供者成功证实了自己的身份。 | PAIS:攻击者伪冒了提供者的身份。 |
| Failure | AAAF:参与者的身份证明被破坏 | AAIF:攻击者无法假冒参与者的身份。 | PAPF:提供者的身份证明被破坏。 | PAIF:攻击者无法伪冒提供者的身份。 | |
| I | Succuss | AIAS:参与者成功进行信息传输和存取。 | AIIS:攻击者窃取了参与者的信息。 | PIPS:提供者成功提供了信息服务。 | PIIS:攻击者提供虚假的信息服务。 |
| Failure | AIAF:参与者无法正常传输或存取信息。 | AIIF:攻击者无法窃取参与者的信息。 | PIPF:提供者无法正常提供信息服务。 | PIIF:攻击者无法提供虚假的信息服务。 | |
| F | Succuss | AFAS:参与者成功使用功能类服务。 | AFFS:攻击者获得了使用功能的权限。 | PFPS:提供者成功提供了功能新服务。 | PFIS:攻击者提供了伪冒的功能服务。 |
| Failure | AFAF:参与者无法正常使用功能类服务。 | AFFS:攻击者无法使用该功能。 | PFPF:提供者无法正常提供功能服务。 | PFIF:攻击者无法提供伪冒的功能服务。 | |
五、有关威胁分类的案例
通常而言,安全目标比较容易理解,而读者会更关心威胁的分类是否真实存在,也就是这里列出的各种威胁类型是有可能达成的吗?一旦达成真的会对用户造成损害吗?为了说明这个问题,笔者给出了一组案例,用来说明每一种威胁。
| 标识 | 描述 | 案例 |
| AAIS | 攻击者假冒了参与者的身份。 | 2014年9月,由于iCloud系统存在口令暴力破解问题,多个名人的账户口令被入侵者获取,爆发了著名的艳照门事件。 |
| AAAF | 参与者的身份证明被破坏 | 2012年9月,微信出现口令重置漏洞(WooYun-2012-11720),可以修改任何用户的口令。 |
| AIIS | 攻击者窃取了参与者的信息。 | 2015年2月,美国第二大医疗保险公司Anthem的8000万用户数据被窃。 |
| AIAF | 参与者无法正常传输或存取信息。 | 2013年9月,一款名为Cryptolocker的恶意软件在网上传播,它会加密主机上的Office文件,用户支付300美元赎金才能解锁。 |
| AFFS | 攻击者获得了使用功能的权限。 | 2014年11月,海康威视监控产品漏洞曝光,大量设备可被黑客远程控制。 |
| AFAF | 参与者无法正常使用功能类服务。 | 2013年5月开始,AVL团队发现了一系列短信拦截木马,可以在欺诈扣费后拦截通知短信。 |
| PAIS | 攻击者伪冒了提供者的身份。 | 2013年6月,攻击者窃取了Opera用于签名的数字证书,并将恶意软件伪装成Opera发行的具有签名的软件,在网络中散布。 |
| PAPF | 提供者的身份证明被破坏。 | 2015年2月,黑客组织Lizard Squad劫持了google越南的域名,将其指向一个自己的网站。 |
| PIIS | 攻击者提供虚假的信息服务。 | 2013年7月,黑客组织Anonymous攻击埃及多个官方网站,并将主页内容修改为自己的宣传口号。 |
| PIPF | 提供者无法正常提供信息服务。 | 2012年9月,伊斯兰黑客组织“伊兹丁.哈桑网络战士”对美国各大银行开展了为期一年的DDoS攻击,被称为“燕子行动”。 |
| PFIS | 攻击者提供了伪冒的功能服务。 | 2012年9月,一犯罪团伙在深圳宝安机场利用伪基站欺骗62万部手机,发送机票广告。 |
| PFPF | 提供者无法正常提供功能服务。 | 2015年2月,黑客组织Lizard Squad攻击微软Xbox Live网络,导致大量在线游戏无法进行。 |
六、存在的问题和展望
笔者衷心希望信息安全成为一门系统性的学科,而不是孤立技术的集合。对安全和威胁的分类研究是其中必要的一步。分类可以从多个角度进行,本文从目的角度进行了尝试,但海留有诸多问题尚未解决。首先,这个模型,如第二节所述,并不不满足第四个条件;其次,分类是需要逐步细化的,就如同生物学对物种的分类和命名体系,还有待建立;最后,这种分类目前是一种思想,想要指导实践,需要更多技术上的对应。总之,本文希望起到抛砖引玉的作用,吸引更多业界同行共同探讨这一问题。