登录注册

2025-云威胁建模2.0 - CSA

2025-云威胁建模2.0 - CSA
这份名为《2025年云威胁建模》(版本2.0)的文档由云安全联盟(CSA)发布,旨在为云原生及AI赋能的环境提供一套实用的威胁建模方法论。以下是该文档的核心内容总结: ### 1. 核心目标与背景 随着云技术和人工智能(AI)的深度融合,传统的静态、基于本地部署的威胁建模已无法应对动态基础架构、共享责任模型及复杂的AI攻击面。本文档旨在指导安全从业者通过结构化的方法,及早识别系统设计中的漏洞,实现“安全左移”和持续安全。 ### 2. 威胁建模框架 文档将框架分为两类: * **通用框架:** 包括STRIDE(最常用)、PASTA(以风险为中心)、LINDDUN(专注隐私)、OCTAVE和DREAD等。 * **AI专用框架:** 为应对模型投毒、提示词注入等新威胁,引入了PLOT4ai、MAESTRO(针对智能体AI)以及NIST AI RMF(风险管理框架)。 * **选择建议:** 建议根据系统复杂性和业务需求选择1-2个互补框架,避免过度重叠。 ### 3. 核心建模活动(生命周期) 文档提出了一个包含10个步骤的循环生命周期: 1. **定义目标:** 确定安全目标及“末日场景”(必须避免的灾难)。 2. **设定范围与资产清单:** 明确控制面、数据面及AI资产。 3. **系统分解:** 利用架构图识别信任边界、入口/出口点。 4. **工具与知识库对齐:** 选择合适的自动化或AI辅助工具。 5. **识别威胁与漏洞:** 参考MITRE ATT&CK、CSA顶级威胁等库。 6. **评估设计与缺口:** 寻找缺失的控制措施或单点故障。 7. **风险评估与优先级:** 基于似然性和影响进行评级。 8. **设计缓解措施:** 制定预防、检测及纠正性控制方案。 9. **沟通发现:** 建立威胁与缓解措施之间的溯源关系。 10. **持续重新评估:** 响应架构变化、安全事件或云商服务更新。 ### 4. 云原生与AI的特殊性 * **动态性:** 云威胁模型必须是“活的”(Living Document),而非静态快照,需随IaC(代码化基础设施)同步更新。 * **共享责任:** 建模需明确哪些安全控制由云商负责,哪些由用户负责。 * **AI挑战:** 涵盖了对抗性输入、模型窃取、数据泄露等AI特有向量。 ### 5. 实用工具与方法 * **威胁建模卡片:** 提供了标准化的命名法(威胁、漏洞、资产、影响、控制),简化了从零开始建模的过程。 * **工具分类:** * **手动:** 如Microsoft Threat Modeling Tool。 * **自动化:** 集成在CI/CD中的IaC扫描工具(如Wiz, Prisma Cloud)。 * **AI辅助:** 利用大语言模型(LLMs)进行模式识别和报告生成(如ThreatModeler)。 * **道琼斯案例:** 文档详细演示了如何应用上述方法分析2019年道琼斯数据泄露事件,提供了从架构分解到缓解措施落地的全过程。 ### 6. 成熟度模型与度量 文档提出了五级成熟度模型(从基础、机会主义到优化级),并建议通过**威胁覆盖率、资产覆盖率、缓解措施溯源率、更新频率**等KPI来衡量威胁建模的有效性。 ### 7. 结论 云威胁建模不再是可选项,而是构建安全互信的基础。通过将建模嵌入安全开发生命周期(SDL),并结合自动化与AI工具,组织能够更好地应对多云、混合云及AI驱动的数字化景观中的新挑战。
在线阅读 下载完整报告 | 996.2 KB | 56页
阅读和下载会消耗积分;登录、注册、邀请好友、上传报告可获取积分。
成为VIP会员可免费阅读和下载报告