ISACA威胁建模白皮书

QQQQQQQQ 目录 4引言4／威胁建模的价值 5威胁建模的五个步骤 5／第一步：明确业务目标，界定建模范围5／第二步：绘制业务生态图6／第三步：识别并优先处理威肋6／第四步：制定应对策略7／第五步： 审查、验证与持续迭代 战略考量 8／培育重视安全、以风险为导向的文化8／高管层的威肋建模 9／从他人的错误中学习9／如何让高管团队参与威胁建模 10CISO、CIO 与威胁建模 10／给CISO和CIO的三人实用策略10／1.将风险纳入 CISO 战略10／2.助力 CIO 实现稳健增长71／3.推动C/SO与CIO协同，打造真正韧性11／企业如何跟上节奏? 11让威胁建模真正落地 11／1.从小处着手，保持专注12／2.聚焦真正重要的威胁12/3.将风险转化为实际改进12／4.实施持续的威胁建模 13不同行业的威胁建模13结语14致谢 摘要 本白皮书将威胁建模视为一种务实的方法，帮助组织识别潜在的网络安全风险。通过威胁建模，企业能够在保护核心资产的背景下，系统地识别、评估并沟通各类威胁及应对措施。本文特别适合企业高管、首席信息安全官（CISO）以及安全团队阅读。威胁建模的价值在于，将安全工作与业务核心紧密连接，从而帮助企业避免代价高昂的安全事件，守护自身成功、声誉和市场地位。白皮书中提供了具体可行的步骤，帮助读者主动发现潜在问题，在风险演变为实际损失之前及时应对，真正实现防患于未然。 威胁建模的价值 引言 如今，许多企业仅做最低限度的防护，被动接受发生数据泄露的可能性。1 用于应对漏洞的工具和实践包括防火墙、入侵检测系统、加密技术、定期更新和补丁的组合，同时构建纵深防御的安全体系。常见的网络安全标准如支付卡行业数据安全标准（PCDSS）2纽约州金融服务部法规3以及健康保险可携性和责任法案（HIPAA）。4结构化的威胁建模使企业能够主动识别相关的网络威肋，确保符合各项标准，并建立持久的韧性。通过预测复杂的攻击，威胁建模使企业能够在网络风险日益加剧的时代保护关键资产并维持业务成功，无论是技术主管构建具有韧性的技术架构，还是业务领导者保护企业收入。威胁建模有助于在不增加无谓复杂性的情况下保护数据、利益相关者的信任和现金流。它还能帮助企业发现安全威胁，并就如何应对这些威胁做出明智决策。5 威胁建模是企业以黑客思维评估自身架构、系统和资产的过程。某人如何能在没有合法凭证的情况下访问该系统？如果第三方以批判的眼光审视企业的系统和资产，其中存在哪些明显的漏洞？威胁建模是一种切实可行且积极主动的方式，使企业能够掌控自身的网络安全，做出明智决策并合理确定优先事项。本文可帮助所有需要了解如何有效实施威胁建模及其重要性的安全专业人员。 威胁建模是企业以黑客思维评估自身架构、系统和资产的过程。 当前网络安全威胁形势瞬息万变，威胁的演变速度往往超过许多企业应对的能力。企业常常处于被动状态，只能在漏洞被利用后才进行处理。为了保持领先，企业必须采取一种积极主动、以威胁为导向的网络运营方法，利用结构化的威胁建模来有效预测和应对风险。本白皮书借鉴成熟的专业知识，探讨了威胁建模的战略意义，表明它是企业可采用的众多工具之一，用以避免严重数据泄露或安全问题。这些问题可能带来经济损失、品牌信任危机，甚至让业务陷入停滞。 威胁建模远非一项孤立的技术性工作，它融合了前瞻性思考、风险优先级排序和可执行的控制措施，旨在保护客户数据、专有技术和业务连续性等关键资产，同时使安全工作与业务目标保持一致。 威胁建模是一种结构化、主动性的流程，使企业能够在潜在安全风险被利用之前识别、评估并缓解这些风险。它要求通过攻击者的视角分析业务系统、数据流和运营流程，以发现漏洞，评估攻击发生的可能性和影响，并实施有针对性的防御措施。 威胁建模的五个步骤 这一方法优先考虑理解业务环境、识别对关键资产的风险，并将安全融入决策过程，同时不依赖于特定技术或软件。 图1展示了一个五步战略威胁建模流程，旨在将威肋建模融入企业的业务战略中。6 成果：清晰说明企业要保护什么、为何保护，并获得领导层支持，将安全视为推动战略落地的关键能力。 第一步：明确业务目标，界定建模范围 示例：某金融机构的目标是提升盈利能力并确保隐私合规。它将威胁建模范围定为保护在线银行平台和交易数据，防范勒索软件攻击和数据泄露。 威胁建模的第一步是确定范围，并与企业的战略目标保持一致。这是审视企业核心关切、决定建模广度和深度的关键时机。 具体行动: 第二步：绘制业务生态图 明确业务目标（例如拓展市场、提升运营效率、赢得客户信任）。确定威胁建模的范围，如关键业务流程（如供应链、客户数据处理、财务运营）、关键资产（如品牌声誉、知识产权）或战略项目（如并购、新产品发布）。与高层领导（如高管团队、董事会成员）沟通，确保威胁建模支持企业优先事项。记录建模范围，包括相关方（如员工、合作伙伴、监管机构）和外部依赖关系（如供应商、第三方服务）。 第二步是构建企业运营的高层级模型，以理解价值如何产生、风险可能出现在哪里。这一步至关重要，通过识别业务资产，明确需要重点保护的对象。 具体行动： 为关键业务流程（如采购、销售、人力资源）创建可视化图表（如流程图、价值链图），展示输入（如原材料、数据）、输出（如产品、服务）以及与外部实体（如供应商、客户）的交互。 6 Microsoft: Security Engineering."Threat Modeling."https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling 识别这些流程中的关键资产，如专有数据、物理基础设施或员工专业技能。划定信任边界，例如区分内部部门与外部合作伙伴，明确控制权减弱的节点。评估并记录生态系统中外部依赖的风险，如第三方数据提供商、开源模型库（如HuggingFace）或云服务商（如AWS、Azure）。评估其可靠性、安全实践和潜在漏洞（如供应链攻击、未经验证的数据源），以便优先制定应对策略。可借助白板或通用绘图软件，组织跨职能团队协作绘制。 具体行动： 与相关方（如运营、财务、法务）开展头脑风暴，思考可能出现的问题，考虑欺诈、违规、声誉损害、业务中断等威胁。借助成熟框架（如STRIDE）作为指引，识别常见的风险类别。使用定性风险矩阵（如可能性Vs.影响）评估威胁。优先处理可能阻碍战略目标，或造成重大财务、法律、声誉损失的威胁。 成果：形成一份按影响（如财务损失、隐私泄露）、发生概率和战略目标排序的威胁清单，并附清晰的排序依据。 成果：形成一份全面的业务生态图，清晰标出易受攻击的资产、流程和边界。 示例：企业识别出高优先级威胁后，根据数据面临风险的概率（如频繁更新的数据）和影响（财务损失、隐私泄露）进行排序，从而优先制定应对策略。 示例：某金融机构为其在线银行平台的AI欺诈检测系统绘制生态图。数据流图展示了交易数据输入、云端推理服务器和基于专有数据集训练的AI模型。关键资产是AI模型和推理服务器。在服务器与第三方云服务商之间划定信任边界。团队评估云服务商的供应链风险，并每季度审查该图，以应对新增数据源，识别云边界的数据泄露风险。 第四步：制定应对策略 这一步利用前阶段识别的所有威胁信息，制定切实可行的行动计划，以降低攻击发生的可能性，同时减轻攻击发生后的损失。 第三步：识别并优先处理威肋 具体行动: 第三步的核心是识别威胁并确定优先级，评估每种已识别威胁发生的可能性和潜在影响。 为超出企业风险承受能力的威胁指定风险负责人，监督应对措施。与相关方确认风险边界，确保系统性风险管理的责任明确。针对超出风险容忍度的威胁，制定应对措施，如系统加固、补偿性控制，或加强员工安全意识培训。根据风险偏好和容忍度，整合应对措施，聚焦关键风险（如隐私泄露），避免过度影响业务效率。 所有识别出的威胁都需评估其可能引发的安全事件后果，这对有效管理和优先处理威胁至关重要。 ·权衡成本与效果，优先选择既能保护关键资产又不损害运营效率的控制手段。记录风险处置策略，包括时间表、预算和责任人。 具体行动： 定期（如每季度、模型更新或接入新数据后）与相关方回顾，根据新出现的风险（如新型攻击手段）或系统变更验证模型，确保风险水平与企业的风险偏好和容忍度一致（如对隐私泄露零容忍）。 成果：形成一系列可执行的应对计划，有效应对超出企业风险承受能力的威胁和系统性风险。计划应明确责任人、融入业务流程，并与战略目标保持一致。 通过模拟演练或桌面推演，测试模型应对威胁和系统性风险的有效性，确认残余风险仍在可接受范围内。 示例：某金融机构为防范欺诈检测系统中的数据投毒，实施了严格的数据验证，但结果仍超出其对隐私泄露的风险容忍度；因此，它部署了多云几余方案以应对系统性云服务中断。安全工程师负责监督各项控制措施，并将其纳入数据治理体系，在支持实时反欺诈的同时，降低财务和合规风险。 收集相关方反馈，发现流程中的漏洞或低效环节，营造安全文化。 根据新的战略项目、市场变化或新兴威胁（如新法规、竞争对手动向）更新威胁模型。 向领导层汇报进展，说明验证结果、残余风险及与风险偏好的匹配情况，以争取资源，持续支持威胁建模工作，确保战略目标达成。 第五步：审查、验证与持续迭代 审查威胁建模过程至关重要。该过程不应一成不变,必须随威胁环境的变化而持续演进。 成果：建立一个动态演进的威胁建模流程，随业务发展而不断优化，持续保障战略目标的安全。 评估模型是否能准确识别和优先处理潜在威胁也十分关键。从威胁模型中得出的信息，必须与所有相关人员（包括高层管理者）共享。 示例：某企业在2025年5月接入新的交易数据集后,重新审查其欺诈检测系统的威胁模型。它通过模拟攻击测试数据验证机制，并更新多云几余方案，以解决此前超出隐私泄露容忍度的潜在云中断问题。安全工程师验证控制措施的有效性并确保合规，将结果汇报给管理层。S 战略考量 五步威胁建模框架将重点放在业务流程和风险场景上，而非仅仅关注技术和资产。这使企业能够在动态的业务环境中，以符合自身风险偏好和承受能力的方式主动管理风险，持续保障隐私合规、财务稳定等战略目标的实现。任何威胁建模工作都必须确保相关方 的充分参与，并投入足够的资源。 任何威胁建模工作都必须确保相关方的充分参与，并投入足够的资源。 高管视角的威胁建模 相关方参与和资源投入具体指： 相关方参与：让数据科学家、安全工程师、合规人员等不同背景的相关方深度参与，明确各自在识别威胁、实施应对措施（如数据验证）和验证控制有效性方面的责任，共同营造符合企业风险偏好的安全文化。 高管在威胁建模中扮演着关键角色，他们通过战略领导和治理，保护企业核心资产，确保组织韧性。其职责包括: 明确战略方向：确立安全愿景，将威胁建模与隐私合规、财务稳定、实时反欺诈等目标对齐。确定风险偏好：设定风险边界，指导威胁优先级排序和资源分配。·批准优先事项：审批技术团队推荐的关键资产和流程（如实时反欺诈工作流）。监督治理：审批优先处理的风险及应对策略（如数据加密、多云兀余），确保符合五步框架。培育文化：通过领导力推动安全文化，增强相关方信任。对外代表：向监管机构和股东传达安全重点，维护品牌声誉。 ，资源投入：在威胁建模与其他业务优先事项之间平衡资源投入，聚焦高影响风险，向管理层清晰说明投入的必要性，以争取支持。 培育安全意识强、以风险为导向的文化 要成功实施威胁建模，企业必须将其定位为一项战略性的业务流程，而非额外负担，从而培育一种重视安全、以风险驱动的文化。负责任的领导者（如安全主管）应定期组织研讨会，推动跨部门协作（如与数据科学和合规团队合作），提升员工认同感，增强风险意识，并优先处理超出容忍度的风险，确保与战略目标保持一致。Q5 要成功实施威胁建模，企业必须将其定位为一项战略性的业务流程，而非额外负担，从而培育一种重视安全、以风险驱动的文化。 整