威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状

在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。

有趣的相关画作

有一幅由 Embyr 创作的画,画中穿着 DEFCON 衬衫的人说“威胁模型”,Soatok(蓝色豺狗形象)有相应反应。这幅画是在反疫苗者将“威胁模型”用作时髦用语时期委托创作的,即便没这背景也挺有趣。

博客适用人群说明

若想找有超 100 篇引用、关于为涉及多个区块链的新初创公司撰写正式威胁模型文档的学术资源,这个博客可能不合适,可从 STRIDE 和系统理论入手;若想从零培养对好的威胁模型应回答哪些问题的直觉,可能来对地方了。

新手的威胁建模

有一幅由 Harubaki 创作的名为“新手”的画。从宏观看,别把威胁建模想得太复杂,虽它是正式网络安全流程,有专家专门研究,但也可在新产品或服务设计和架构阶段进行非正式威胁建模,且可能有更好结果。

一个威胁模型至少应回答这些基本问题:1. 我们最初要保护的是什么?若答不上来,还有很多基础工作要做。2. 谁或什么想要损害我们要保护的东西?包括黑客、激进分子等多种主体。3. 第 2 点中的主体可能如何攻击第 1 点中的目标?要列出攻击场景,考虑墨菲定律。4. 我们将采取什么措施来防止第 3 点中的情况发生?墨菲定律同样适用。若能回答上述问题,可称文档为威胁模型,但实践中往往因关键细节遗漏而无用。还有 5. 第 1 点中的资产是如何关联或连接的?要从图的角度思考,并非所有目标都有同等价值。6. 我们做了哪些假设,尤其是在第 4 点和第 5 点中?将在下面详细说明。7. 我们故意不处理哪些威胁?不可能应对所有可能攻击,别假装能做到。

明确假设极其重要,若假设错误,模型至少不完整,或需重新考虑接受的风险列表。例如隐形蝾螈攻击会破坏某些端到端加密消息设计中的滥用报告功能,前提是引入滥用报告机制,这是因为相关 AEAD 方案的假设被打破。明确假设能识别未知的未知因素,威胁模型应是动态文档,可适时更新。还有一幅由 CMYKat 创作的击掌贴纸画。

如何开始威胁建模

若想专业进行威胁建模,可阅读《威胁建模宣言》。做法是先将上述 7 点写成可快速复制粘贴的格式,接着绘制系统组件及关系,设置好后在图周围画框,像玩《堡垒之夜》一样迭代,记录组件输入输出,尝试回答 7 个问题,重复过程直到深入底层,思考对未深入研究层的假设。还有一幅由 CMYKat 创作的剪贴板贴纸画。要从最高层面开始,逐步深入,注意不恰当关系并尽量切断。

示例:自己的工作

正在为 Fediverse 实现密钥透明性,可在 publickey.directory 查看进展。该工作始于一份规范,其中包含显著的威胁模型,分为假设、资产、参与者并赋予角色名称、风险等部分,风险有设计上可防止、可缓解、可解决、开放四种状态。当然,这个威胁模型并不完美,可能存在呈现关系不完美、有盲点、忘记写重要假设等问题。若能看出不足,可能已足够理解如何编写自己的威胁模型,但只看此例学不到太多,还需糟糕的威胁模型文档示例。还有一幅由 CMYKat 创作的 Soatok 喝咖啡的画。

糟糕的示例:Matrix 的威胁模型

之前曾批评过 Matrix,Matrix 的威胁模型列出了拒绝服务、欺骗、垃圾邮件、间谍活动等攻击类型及具体威胁,但存在只是攻击类型列表、无假设列表、无资产列表及关系说明、攻击列表不完整、多年基本不变等问题。尽管如此,Matrix 至少有威胁模型,相比之下,Signal 只提供技术规范让用户自己琢磨威胁模型。所以给 Matrix 的威胁模型打 C - ,一个糟糕的威胁模型总比没有好。还有一幅画得很糟糕的星星,上面写着“一次尝试”。

威胁模型如何帮助你构建更好的产品

在信息安全领域初期会听到“防御者必须每次都做对,而攻击者只需要成功一次”,但装备精良的防御者可选择战场。安全从业者鼓吹纵深防御,真正做到需充分理解威胁模型,迫使攻击者陷入死胡同。

防止凭证填充攻击

凭证填充攻击有效是因为人们重复使用密码,而人们重复使用密码是因为只能记住有限数量密码。为降低风险,密码管理器曾是正确答案,如今通行密钥更好,因为它是更用户友好的身份验证方式,理想情况用户用硬件安全令牌,一般情况操作系统或密码管理器提供功能。不断追问“为什么”可了解安全控制中固有威胁,但有陷入死胡同风险。若想避免凭证填充和相关攻击,可采取设计应用程序要求使用通行密钥、要求用户注册多个通行密钥、为管理员提供添加新通行密钥方法并记录操作、尽量不支持密码身份验证等措施。通行密钥无法被网络钓鱼,采用它能节省成本、避免无效测试、消除多种攻击并提高可用性。一个好的威胁建模练习可让人有此发现。有一句名言“以牺牲可用性为代价的安全,最终也会损害安全”。还有一幅由 CMYKat 创作的 Soatok 戴着用胶带粘起来的眼镜的画。

分布式端到端加密

密码学专家和去中心化爱好者讨论两种直接消息端到端加密提案,即 ActivityPub E2EE 规范和 Germ Network 项目,都曾考虑用 MLS 作为密钥管理协议,但在非中心化系统中使用 MLS 有两个重要注意事项。一是 MLS 定义的认证服务被 SimpleX 负责人误解,提出的密钥透明性提案是解决方法;二是消息排序对 MLS 时代的棘轮树安全性至关重要。对于 ActivityPub,采用密钥透明性后需处理 KeyUpdate 消息竞争问题;对于 ATProto / BlueSky 情况更棘手。

为什么 ATProto 让问题更难解决

ATProto 不像 Fediverse 有实例,部分原因是其由受比特币影响的开发者设计,认为拥有“全局状态”是不错的服务设计选择,而区块链是难稳定的全局状态。与 ActivityPub 不同,不能简单构建加密消息传递工具,安全分析时要将内容视为点对点,需设计复杂协议保证消息排序,或放弃 MLS 采用成对端到端加密。还有一幅由 AJ 创作的 Soatok 对着电脑大喊的画。

威胁建模的帮助

若将用户消息保密性视为安全目标且希望托管去中心化,ATProto 受区块链启发的设计会阻碍使用有效群组密钥协商协议。目前有工程师在解决问题,但设计阶段可避免错误。还有一幅由 AJ 创作的 Soatok 出现故障的画。

威胁模型的非实用用途

读到这里,应明白什么是威胁模型、好的威胁模型应包含什么、如何识别糟糕的威胁模型、威胁建模如何帮助构建更好的产品。这些实用内容可能枯燥,提升威胁建模技能还能在技术讨论中识破胡说八道。

后量子密码学的威胁建模

最近写了关于混合后量子结构的博客,IETF 的 TLS 工作组邮件列表在进行最后一轮讨论,Daniel J. Bernstein 召集人谴责。像 Patrick Timothy Dalrymple、Willow 等人的言论引发 DJB 回应。除了不讲道理和性骚扰者,要求很多人说明具体安全担忧,他们遵循非黑即白思维方式。

为应用威胁建模理解这种情况,需确定事实:1. ML - KEM 不是 NSA 的设计,主要提交者是 Peter Schwabe,其他提交者分布在欧洲各地。2. 信息论排除 ML - KEM 存在后门的可能性。3. ML - KEM 是通过公开、长达十年的国际努力被选中进行标准化的。4. NIST / FIPS / NSA 要求在机密系统中使用非混合的 ML - KEM / ML - DSA,若有后门他们急于迁移系统就太愚蠢。不同意这些事实的人是拒绝现实,应拿出证据。

当前 IETF 讨论发布为非混合的 ML - KEM 建立代码点的 RFC,混合 KEM 更受青睐,发布该 RFC 对配置为始终使用混合 KEM 的系统安全性无降低。谷歌 Chrome 已支持非混合的 ML - KEM,阻止该 RFC 对大多数互联网用户的现实世界安全无好处。该 RFC 对需遵守特定规则且要求有稳定 IETF RFC 编号的组织有作用。出于意识形态反对 RFC 会让相关人陷入困境,与减少危害目标相反。

技术上有人认为混合后量子 + 传统密码学比纯后量子更好,这就需运用威胁建模技能思考。用 Q - Day 简称“对手建造出与密码学相关的量子计算机的那一刻”,KEM 面临“现在收集,以后解密”风险。纯 ECDH 在 Q - Day 时会被追溯性破解;纯后量子算法在 Q - Day 时若本身未被破解则不会被破解;混合后量子 + ECDH 是对 Q - Day 之前算法被破解的对冲策略,但 Q - Day 之后完全没用。DJB 煽动反对纯后量子算法,支持混合后量子 + ECDH,但 ECDH 在 Q - Day 时对安全性贡献为零。如今主张使用 ECDH + ML - KEM 承认 ML - KEM 长远来看是安全算法选择。选择混合方案一是能更快过渡到后量子时代,二是对冲 ML - KEM 或基于格的密码学算法类在 Q - Day 之前被破解的风险。最理智的主张是使用 ML - KEM + HQC + ECDH 的三方混合方案,反对 RFC 的人没人主张此方案。对 RFC 的反对意见往往愚蠢且考虑不周全,是锻炼辨别能力的好机会,也不必信任 NSA 等间谍机构。还有一幅由 CMYKat 创作的吐舌贴纸画。

结语

互联网上有正式介绍威胁模型及处理方法的指南,但希望读完这篇博客后,能对威胁模型文档质量和有效性有初步判断,甚至更认真对待这个话题。

下载代码方式:https://pan.quark.cn/s/a4b39357ea24 依据所提供的资料,我们深入剖析此问题以及所给出的两种算法方案。 ### 问题背景 该问题源自王晓东编撰的《算法设计与实验题解》一书,书中阐述了一个值得注意的数学议题:针对一本页码从1到n顺序编号的书籍,要求统计所有页码中数字0至9各自出现的频次。例如,若n=13,则页码序列为1、2、...、13,其中数字1出现5次(体现在1、10、11、12、13中),数字0出现1次(体现在10中)。 ### 问题描述 具体而言,我们需要开发一种算法,其输入参数为一个正整数n,输出结果需为0至9这十个数字各自出现的频次。所有页码均以十进制形式呈现,且不包含任何前导零,即不会出现如006之类的页码表示。 ### 解决方案一:时间复杂度为O(n*log10(n))的算法 首先,介绍一种时间复杂度为O(n*log10(n))的算法实现。其核心构思在于遍历从1到n的每一个数值,然后逐一分解每个数值的各个位,并统计各类数字出现的频次。具体步骤如下: 1. 初始化一个长度为10的数组`count`,用于记录0至9每个数字出现的频次,初始值均为0。 2. 从1开始遍历至n,对于每一个数值i,将其转换为整数并进行以下操作: - 利用循环结构,持续将当前数值除以10,获取余数(即当前最低位的数字),并累加到对应的计数器中。 3. 遍历完成后,输出`count`数组中的每一个元素,即为所求的结果。 ### 解决方案二:优化算法 为了提升效率,提出了一种更为优越的算法。该算法基于以下观察:在1到10^n-1之间的任意区间内,每一种数字0至9出现的频次是相等的。例如,在1到999之间,每一种数字0至9出现的频次均相...
内容概要:本文档详细介绍了基于直驱永磁同步发电机(PMSG)的1.5MW风力发电系统在Simulink环境下的建模与仿真方法,涵盖风力机、传动系统、PMSG本体及电力电子变换器等核心组件的数学建模与系统集成。通过构建完整的风电系统仿真平台,实现了对风速扰动、机械动力学响应、电磁能量转换及并网运行特性的动态模拟,重点解析了PMSG在不同工况下的运行行为与先进控制策略的设计与实现,如最大功率点跟踪(MPPT)和矢量控制技术。该模型不仅可用于风电系统的性能评估与优化,还可作为控制器设计与算法验证的有效工具,支持新能源领域的教学、科研与工程应用。; 适合人群:具备电力系统、电机控制或可再生能源发电等相关背景的科研人员、工程技术人员及高校研究生;熟悉MATLAB/Simulink仿真环境者尤佳。; 使用场景及目标:①开展风力发电系统的动态特性分析与先进控制策略研究;②完成课程设计、学位论文或科研项目中的系统建模任务;③复现高水平学术论文中的风电仿真案例,支撑科研成果的验证与发表。; 阅读建议:建议结合文档中提到的相关控制算法与优化策略进行拓展学习,重点关注模型结构搭建、参数配置与仿真调试过程,并通过改变风速输入、负载条件等变量开展多工况仿真实验,深入理解系统动态响应机制与控制效果。
内容概要:本文系统研究了基于粒子群PSO、灰狼GWO、鲸鱼WOA、哈里斯鹰HHO、蜣螂DBO、麻雀SSA等多种智能优化算法的无人机三维路径规划方法,利用Matlab代码实现了在复杂三维环境下的路径搜索与避障功能,并构建包含路径长度、飞行高度、障碍物规避、转弯代价等多维度的综合成本函数体系,对各算法的收敛速度、寻优能力、路径平滑性及局搜索性能进行了定量对比分析。研究不仅展示了各类群智能算法在路径规划中的实现机制与参数敏感性,还提供了可复现的仿真平台,为无人机自主导航系统的开发与优化提供了理论依据和技术支撑。; 适合人群:具备Matlab编程基础和基本优化算法知识,从事无人机路径规划、智能控制、自动化、机器人技术等相关领域的科研人员、工程技术人员及高校研究生。; 使用场景及目标:① 对比分析主流群智能优化算法在复杂三维空间路径规划中的性能差异与适用条件;② 构建并优化多目标成本函数以提升路径规划的安性与经济性;③ 为科研项目、学术论文撰写或实际工程应用提供可靠、可复现的Matlab代码参考与仿真框架; 阅读建议:建议读者结合所提供的Matlab代码逐模块调试运行,深入理解各算法的迭代机制与路径生成过程,重点关注参数设置对优化结果的影响,并可根据具体应用场景调整环境建模与成本权重,进一步拓展和优化算法性能。
内容概要:本文围绕“风光制氢合成氨系统优化研究”展开,详细介绍了利用Python代码对该综合能源系统进行建模与优化的过程。通过复现高水平学术论文,构建了集成风能、光伏等可再生能源的制氢及合成氨系统模型,充分考虑了可再生能源出力的随机性与波动性、关键设备运行的技术约束以及系统整体的经济性目标,采用先进的数学优化算法对系统的容量配置与运行调度策略进行联合求解,旨在提升绿氢与绿氨生产的效率,促进可再生能源的高效消纳并推动工业领域深度脱碳。文中提供了完整的Python代码实现方案,涵盖数据处理、模型构建、求解器调用与结果可视化等环节,具有较强的可复现性和二次开发价值。; 适合人群:具备一定Python编程基础和优化建模能力,从事新能源系统规划、综合能源系统优化、绿色化工、电力系统调度及相关领域的科研人员、工程技术人员和高校研究生。; 使用场景及目标:①深入学习并复现风光耦合电解水制氢与合成氨的集成系统优化模型;②掌握基于Python的能源系统建模、多目标优化与不确定性处理方法;③应用于绿色氨生产系统设计、可再生能源大规模消纳、低碳工业流程优化等前沿科研与工程项目。; 阅读建议:建议读者结合文中提供的完整代码,使用实际气象与负荷数据进行调试与验证,深入理解目标函数的构建逻辑、各类物理与运行约束的数学表达以及优化求解器(如Pyomo+CBC或Gurobi)的具体应用,进而可拓展至考虑更多不确定性因素(如价格波动)或多能互补(如储能)的复杂场景研究。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值