利用威脅建模防范金融和互聯網風險

從B站數據遭競品批量爬取，到華住集團信息泄露；從東海航空遭遇大規模惡意占座，到馬蜂窩旅游網站事件；從接碼平臺日賺百萬到雙十一電商風險爆發.....頂象2018年第三季度業務風險監測數據顯示，惡意爬取是Q3所有業務風險中占比最高，排在第二位的是虛假注冊，其次是賬號盜用、推廣作弊及其他、薅羊毛等。

薅羊毛、盜號冒用、虛假注冊、惡意爬取、推廣作弊等等各種業務不僅給業務平臺帶來巨大經濟損失，損害了用戶合法權益，更破壞了商業秩序。

   其實，這些風險可以通過模型來防控。例如，在日常生活中，我們會關注每天的天氣和氣溫變化，如果氣溫驟降，就會做出添衣的決策，如果第二天下雨的概率很大，就會做出帶把傘出門的決策，從而達到降低患上感冒的可能性。讓我們擁有這種潛意識的就是威脅模型。

所謂威脅建模，就是使用抽象的概念來分析可能存在或出現的風險，并減輕或降低風險的對策過程。通過威脅建模，可以防范上面提到的互聯網業務風險；通過威脅建模更可以防范信用欺詐、虛假注冊、釣魚詐騙、信用惡化、貸款逾期等金融欺詐。

威脅建模的必要性與核心價值

完善設計

絕大部分的開發團隊都使用系統需求分析文檔、軟件系統設計文檔以及功能模塊詳細設計文檔來規范系統的開發和測試過程；整個開發周期中，只在測試階段引入滲透測試或者安全代碼審計來提高交付的系統的安全性。但是，因為設計階段就缺少安全部分的分析設計工作，往往導致滲透測試和安全代碼審計工作事倍功半，收效甚微。測試人員無法根據缺乏安全設計的設計文檔來估算安全測試用例的覆蓋度；研發人員也無法針對發現的威脅快速并高效的提供解決威脅的開發修復途徑和安全產品采購需求。

更好發現風險

安全代碼審計和滲透測試是兩種最為常見的發現威脅以提高系統安全性的方式。但是這兩種方式都具備類似的缺點：很難系統化和量化系統的安全性。威脅模型更關注哪些方面可能出現安全問題，通過建模的方式將威脅抽象化和結構化，以圖表幫助確定威脅的范圍，并利用表格和列表的方式來追蹤和更新威脅，實現在開發過程或者運維過程中識別和管理威脅。

為測試提供指導

我們使用軟件測試來對軟件產品和階段性的開發結果來進行質量檢驗，力求發現其中的各種缺陷，并督促缺陷得到修復，從而控制軟件產品的質量。作為軟件測試中的一個環節，安全測試的關注點是安全缺陷，保障的是軟件產品的安全性質量。

軟件測試可以使用軟件的需求分析和定義、軟件系統設計、模塊詳細功能設計甚至具體編碼實現來指導測試的設計和執行。同樣，通過威脅建模，可以在安全測試的設計和執行中獲得以下指導：軟件系統可能會面臨哪些方面的安全威脅；系統正在遭遇哪些方面的威脅；以及系統現狀能夠抵御哪些方面的威脅。

修復缺陷

威脅建模是為了交付安全性更高的軟件、服務或者技術。因此，在找到和定位威脅之后，如何處理和管理威脅也是威脅建模不可或缺的一個部分。威脅建模能夠權衡解決威脅的策略，并指導系統的開發者使用哪些技術和系統配置方式來處理發現的各類威脅。與功能測試報告相似，表格和列表也可以應用于整體威脅建模漏洞的跟蹤。

如何做威脅建模

威脅建模是由微軟首先提出，建設過程主要分為三步。

首先，在預設場景中要考慮具體的業務特征、真實用例以及場景中所用的產品，圖表化能夠幫助我們理解業務場景和系統，以及定位威脅的攻擊面。然后，借助特定的模型和方法來發現威脅并對發現的威脅進行評級，優先處理攻擊難度高并且危害程度的威脅。最后，需要測試是否已經對相關威脅進行有效的處理，達到威脅建模的結果收斂，系統的安全性有效提高。

建模的三個角度

威脅建模通常從三個維度來建立：以資產為核心、以攻擊者為核心、以業務為核心。在實踐中使用哪種建模方式往往根據系統構建者的關注點來決定的。比如，風控或者業務部門關注的可能更多的是資產或者有價值的東西；安全部門關注的更多的是攻擊者，通過利用攻擊庫列表來尋找系統威脅；而研發部門關注的更多的是正在構建的軟件或者部署的系統，將威脅模型作為常用的軟件開發模型的補充，來提高軟件系統的安全性。

圖表是理解系統的最為趁手的武器，數據流圖（data flow diagram）、統一建模語言UML、狀態圖來理解正在構建的系統。所以，我們會將圖表應用于以下三個步驟來理解系統：確認系統數據流模型、確認信任邊界、確認攻擊面。

數據流模型是進行威脅建模的最佳模型，這是因為安全問題往往是在數據流中出現，而不是在控制流中。進程、數據流、數據存儲和外部實體是數據流圖的四個基本要素。下圖顯示的是一個典型的數據流圖模型。

進程：運行中的代碼，如服務、組件；使用圓角矩陣或圓形圖形表示。

數據流：外部實體與進程、進程與進程或者進程與數據存儲之間的交互；使用箭頭表示。

數據存儲：存儲數據的內部實體，如數據庫、消息隊列、文件等；使用中間帶標簽的兩條平行線表示。

外部實體：系統控制范圍之外的用戶、軟件系統或者設備；使用直角矩陣表示。

在數據流圖確認后，需要引入信任邊界對數據流圖進行改進。信任邊界是不同主體匯聚的位置，即實體與其他不同權限實體之間交互的位置。信任邊界是識別威脅的最佳位置，因為大部分的威脅往往具備跨越邊界的行為，劃分信任邊界的數據流是需要進行威脅分析的元素實例。

在確認數據流圖的信任邊界后，就可以很容易就得到當前場景暴露的攻擊面。攻擊面往往就是一個信任邊界，使攻擊者可以發動攻擊的地方。

找到可能出現的威脅

借助業務場景數據流圖和信任邊界的劃分，我們已經對威脅最容易發生在那些地方有了一定的概念，接下去我們需要做的是找出這些威脅點可能會出現哪些具體的威脅。

STRIDE方法是由微軟開發和推廣的用于威脅建模的工具，該方法將威脅分為6個維度來進行評估，幾乎能夠覆蓋目前的絕大部分安全問題。STRIDE是六個單詞的縮寫，分別為：

Spoofing：假冒，偽裝，冒充他人身份；

Tampering：篡改，非法修改數據或者代碼內容；

Repudiation：否認，否認自己的行為，宣稱自己沒有做過某事；

Information Disclosure：信息泄露，獲取到自身權限本不能獲取的信息；

Denial of Service：拒絕服務攻擊，消耗系統資源，影響系統的可用性；

Elevation of Privilege：提權，獲取到更高的系統權限；

結合數據流圖的基本元素，使用STRIDE方法作為威脅維度來對各基本元素進行威脅分析，可以得出以下表格：

表格所描述的是作為基本元素會面臨哪些維度的威脅。比如外部實體可以被偽造，并否認自己發起的行為。數據存儲幾乎不會被偽造，但是往往面臨數據被篡改，機密數據泄露以及被拒絕服務攻擊使不能服務的威脅；同時，數據存儲是否會面臨否認的威脅需要根據數據存儲的用途，當數據存儲用于審計的場景下，可能會面臨偽造的威脅。

接下來，我們可以使用該表格對具體業務場景進行業務風險分析，如對本文上述航旅某業務場景中的各個要素進行潛在威脅定位，可以得出以下表格：

在使用STRIDE方法分析完特定業務場景下數據流圖中的所有元素示例的潛在威脅以后，我們已經得到一個抽象的威脅定位圖表。接下去我們需要根據攻擊庫來進行威脅枚舉，對各個潛在威脅構建威脅描述和攻擊方法，并輸出一個威脅列表，對每一個威脅項進行描述。

頂象技術在金融、互聯網、航旅等積累了豐富的業務風險經驗，以威脅編號T1和T4舉例輸出威脅項描述如下所示：

對可能會出現的威脅評級并處理

使用STRIDE方法對業務場景的數據流圖分析完畢后，我們已經獲取到當前系統在該業務場景下所面臨的潛在威脅。接下去我們就需要一個個處理這些威脅。

在我們確認威脅處理方法之前，我們不得不以 “妥協”的想法認清一些現實：首先，有一些威脅是無法根除的，我們只能降低這些威脅發生的機會，或者提高威脅發生的門檻；其次，有一些威脅雖然存在，但是發生的概率很低，而且一旦發生，帶來的危害也很小。我們需要找到一些機制來判斷是否真的需要投入成本去修復這些漏洞。

正因為如此，我們需要采用威脅評級的方式，對我們定位出的威脅項進行評分，然后根據系統的實際情況和評分結果來權衡處理威脅的方式，是解決威脅還是緩解威脅或者接受威脅。

威脅評級有很多種方式，如DREAD與CVSS（Common Vulnerability Scoring System）方法。不同評級方法對威脅進行評級的維度和風險等級的計算方法會略有不同，但是總體來說，威脅的級別等于威脅發生的概率乘以威脅帶來的潛在損失。在實際事件中可以根據系統或者業務場景特征選擇合適的評級方法甚至對其進行調整使其適應實際情況。

DREAD風險模型的計算方式：

威脅等級[ 忽略(0), 嚴重(10) ] = (危害性[ 0, 4] + 復現難度[ 0, 4] + 利用難度[ 0, 4] + 受影響用戶[ 0, 4] + 發現難度[ 0, 4] ) / 2

以威脅編號T4舉例，其威脅等級計算過程如下：

危害性（Damage）：3分：泄露機密數據，或資金損失較大；

復現難度（Reproducibility)：1分：很難復現，復現成功率較低，需要多種因素限制并對技術有較高要求；

利用難度（Exploitability）：2分：熟練攻擊者可攻擊，需自定制腳本或高級攻擊工具；

受影響用戶（Affected Users）：1分：一般邊緣業務的少量用戶；

發現難度（Discoverability）：1分：發現漏洞很困難，可以通過猜測或者監測網絡活動來發現；

因此威脅編號T4的威脅等級 = （3+1+2+1+1）/ 2 = 4，中危級別，威脅的處理方法為使用HTTPS協議代替HTTP協議進行數據傳輸，或使用頂象技術設備指紋和風控引擎產品，對用戶登陸事件獲取實時安全防護。輸出威脅項中威脅級別和威脅處理方法如下所示：

類似過程可輸出威脅編號T1的威脅級別和威脅處理方法如下所示：

在對所有的潛在威脅實例進行威脅評級和威脅處理方法舉例之后，可以根據系統的業務特征，選擇合適的方式來處理潛在威脅。

針對電商、航旅等2C業務風險的威脅處理方法，我們需要謹慎評估和實施，尤其是當威脅實例（被攻擊的目標）屬于外部實體或者與外部實體相連的數據流/信任邊界類別時。這是因為2C的業務在考慮到業務安全性的同時，更需要考慮到用戶體驗的友好性和易用性。如威脅編號T1的處理方案中，雖然強制要求用戶登陸狀態才能進行查詢航班信息能夠在短期內快速有效的降低爬票的風險，但是提高了正常用戶使用系統的門檻，帶來了明顯的“副作用”，不利于長期的發展。

   頂象技術基于業務風控實戰經驗的積累，以威脅建模的方法論對業務風險抽象化分析，幫助業務更好的識別風險，針對各行業不同的業務風險，預設了大量的風險指標、策略和模型，并通過實時分析模型，讓風控系統可以以機器學習的方式，更好的適應業務風險的變化。

對于上述案例中威脅編號T1，借助頂象Dinsight風控引擎和端安全，建立全面的數據反爬體系。

同時采用可分級的反爬策略配置，實現對同一業務的不同場景、同一場景的不同區域、時段采用不同的策略。以下是通過頂象Xintell智能平臺構建的威脅模型。

對于上述案例中威脅編號T4，借助頂象技術的Dinsight風控引擎和端安全，對用戶請求采集多維度行為數據，將設備維度信息、用戶行為維度信息以及環境維度信息提交至實時風控引擎，調用賬號安全策略進行綜合計算評估，識別賬號盜用的風險。

結語

威脅建模是一種方法論，也是一種分析模型，可以幫助系統的構建者找出最適合系統和業務場景的風險解決方案。

威脅建模提供了一組規范的工具和方法用來幫助我們處理系統中潛在的安全風險，交付更安全的系統。最理想的情況是，我們在開始構建業務系統時，將安全需求分析引入系統需求分析步驟，在系統概要設計和詳細涉及階段引入威脅建模分析部分，并將其作為測試階段安全測試工作的指導，輸出測試報告的同時輸出安全報告。

本文對威脅建模基本原理、建模過程和主流的建模方法進行了介紹。同時也提出，當使用威脅建模對業務體系進行抽象分析，需要考慮到（2C）業務安全區別于傳統信息安全的不同處，在處理威脅的階段，需要權衡修復成本的同時，更需要考慮到威脅修復方案對用戶體驗友好性和易用性的影響。

頂象技術在金融、互聯網等現實業務攻防中依靠積累下來的數據和經驗，在保障業務安全的方面，具備以下優勢：

1.豐富的垂直業務領域威脅建模經驗，覆蓋信貸、支付、交易、交互等場景。

2.豐富的業務風險攻擊庫和相應的防護措施，圍繞威脅建模過程，輸出全鏈路、多環節縱深風控體系，能有效保障業務的健康運營。

3.多年的實戰對抗經驗積累，預設數百個風險指標、風險策略和風險模型，實現業務安全的瞬間賦能。

4.強大的Dinsight風控引擎，能夠在毫秒級作出響應，利用策略和實時計算，同步識別風險，直接阻斷惡意風險，或通過二次驗證確認疑似風險。

5.Xintell智能平臺集成了豐富的風險防控等模型，以幫助企業利用數據建設一個更安全的生態環境為目標，提供了一站式數據處理、AI建模、運維管理等服務。

6.基于關聯網絡構建的圖神經網絡算法的深度畫像技術，可應用半監督學習和無監督學習表征等，能夠直觀的體現目標網絡的結果和預測。