简单的威胁模型构建方法

AlphaRabbit

于大多数人中，我们经常能发现好多人本质上只是在“与空气斗智斗勇”，然后浪费了（保底）1145141919810（美）元后被价值20（人民币）的锤子打穿了。

当然这里的锤子不一定是物质层面上的“你家的羊角锤”，但绝对比你花在对抗空气的成本低的多。
无论如何，这导致很多人都产生了一种可笑的虚无感：但归根结底就是你连你为什么被盯上都不知道嘛！

因此本文章就是为了解决这些问题而写的，请注意可能含有以下要素：

• 不说人话（我们来自于外太空，并不是地球人，请原谅）。
• 奇妙比喻。
  

---

我们先来解释一下“什么是威胁模型？”这个问题：

威胁模型，列出对您的安全与隐私可能造成的威胁。既然无法完全防范每一次攻击(者)，请将精力放在最可能发生的威胁。在电脑安全上，威胁指可能破坏您保持私密和安全努力的事件。

在这里我们可以看得出来“威胁模型”其实就是“潜在的威胁事件”。
因此我们先从以下这几个问题，开始构建一个简单的威胁模型和分析过程：

• 我想保护什么？
• 我想要保护它免受谁的侵害？
• 我需要保护它的可能性有多大？
• 若不幸失败将带来多严重的后果？
• 我愿意承受多少麻烦来防止潜在的后果？
  

这五个问题对应的OPSEC（操作/运营安全，Operations Security）的五个要素：

---

图为OPSEC五个流程步骤

---

我们先从这五个问题开始解析：
1.我想保护什么？

按照字面意思理解即可，也就是“对你来说很重要的东西”，下文称呼为“资产”。

比如：你身上的钱。

列出来这些东西，然后问自己”为什么我不希望别人可以威胁到它们“。

---

2.我想保护它免受谁的侵害？

要回答这个问题，你需要明白你的潜在对手是谁——比如你的老板、前任、特工或者大修卡（？），这些都可以算作你的敌人。以及为什么他们会对这些有奇异搞笑的兴趣。

列出来所有的潜在敌人，你的名单可能会包含什么APT-41或者戈尔戈姆。

如果有必要（在某些场合）这份名单必须在写完之后被销毁。

---

3.我需要保护它的可能性有多大？

这个问题代表了”风险管理“，含义就是——指某个资产发生特定威胁实际的可能性。

比如你宿舍那堆被铲了全家的抽象室友虽然会威胁到你柜子里的补佳乐，可问题是他们就没有那个能力去撬锁——那你为什么要保护柜子里的补佳乐？你有大病？


重要的是得区分发生的概率（可能性），比如你人住在四川那当然不需要在乎台风，但你需要在乎地震。
当然这个问题并不是完全的客观问题——对于有些人而说，柜子被炸开然后”你居然是个男娘“的后果确实无法接受，这不是因为失了智，而是遇到这个风险真的太过于没有意义。

认真地写下来这些东西，那些威胁很常见，哪些威胁可能你活了一辈子也只是“听说过”。

---

4.若不幸失败将带来多严重的后果？

全校都知道你是个男娘还半夜出去变身魔法少女（即答）。

敌人可能用各种方法访问你的“资产”，比如半夜渗透到你的学校然后用微PE撬开你的笔记本电脑，或者发送一个PDF打开结果是个漏洞利用，甚至是直接把你绑架然后用丰富（装十个杀软到电脑上）的经验狠狠拷打你（的智商）。

敌人的动机差异天差地别，他们的战术也是如此（毕竟，目的不同）；比如esu小鬼目的是把你的全家户籍开了放网上整点什么大新闻、某站站长单纯的只是不想让你传他喜欢小圆的事实，所以只需要删了你发的东西然后封号就可以了。

所以这个问题本质就是让你思考“如果这些资产不幸的落到了别人手里，你会遇到什么后果？”这个有些奇异搞笑的问题——这需要你思考对手的能力和目的，以及对敌人有充分的了解——比如腾讯可以任意查看你在QQ上说了什么但绝对不会知道你和你室友在干嘛、星巴克里的速成黑客（看了三遍《农村电脑自学教材》学会了怎么用Kali）可以窃取你用HTTP传输的信息但没能力破坏HTTPS的安全性。

写下来你的敌人会拿你不希望被拿到的东西干什么。

---

5.我愿意承受多少麻烦来防止潜在的后果？

你都上卡饭学别人装十个杀毒软件了你怕麻烦？？？？？（哲学问题）

正经点：每个人遇到的威胁都不一样，所以没有任何“通用”的方法，而任何“安全措施”你都需要付出对应的代价，所以需要做出取舍。

比如你要发你学校的黑历史你需要用某草本植物，但你跟你妈发照片需要这么高的加密级别吗？

---

实战练习部分。

这里我们来模拟一个场景，按照上面五个问题，来做个威胁模型。

1.你柜子里有被别人看到就得连夜买票然后扛着喷气式客机换个城市生活的东西。

2.你不希望任何人（包括你的监护人）看到。

3.你的宿舍全是抽象抗蛆，但是没一个会撬锁的，然而你的辅导员可以强迫你打开柜锁。

4.被看到就可以连夜扛着喷气式客机换个城市生活了。

5.你觉得你愿意付出多高的代价？

---

本文发布于卡饭，备份位于我的博客：简单的威胁模型构建方法

本文以CC BY-NC-ND 4.0协议发布。

参考资料：

建立威脅模型


OPSEC与查水表

hushuai

看见标题我还纳闷我怎么能看到什么threat modelling(威胁模型)的文章，原来是内涵某些魔怔人的
威胁模型的确是用来评估一个新的网络服务或者应用安全的方法论，专有名词一大堆，什么STRIDE，PASTA，attack surface（攻击面，WD的ASR全称就是attack surface reduction）。看起来很专业，其实这种方法论可以用在几乎所有安全领域，并且在杀软领域论坛里很多人已经意识到了这些东西。

就比如，杀软的性能，查杀率，易用性在现在这个阶段本就是一个不可能三角，就像游戏笔记本性能，便携性，续航也是一个不可能三角一样，有些杀软在某一两个角追求极致，必然会牺牲另外一两个，只是牺牲的程度不同。

但这论坛里有一些人就想要极致的查杀率，性能易用性都完全不考虑，为此同时装n个杀软，这样性能的损失咱先不谈，易用性基本完全没有，并且这样查杀率真不是一定会做到极致，（你看病毒区多少白加黑或者自制病毒刚出来一个都不杀的）但一定会因为兼容性增加攻击面，而这个攻击面是未知的（谁知道会出什么幺蛾子），且不会有杀软公司去解决的（人家想方设法不想让你同时装几个杀软）
当然，有这种想法的人在折腾的电脑里真的有很重要的东西去保护吗

谁在这论坛混还没点杀软综合征了，但区别是有些人知道这是病，有些人不知道。所以玩玩可以，真魔怔了那挺可怕的

877906025Z

反正是对于我来说就是有一个足够可靠的个人版安全软件，能帮我在我连接公共WiFi的时候拦截住某些半吊子的入侵就够了。至于真能跳过安全软件干进来或者干到我家不是公网IP的家庭网络里的那些，你装一万个安全软件也拦不住啊，说白了那些人也不惜得费那么老大劲干我电脑啊，除非他想看我花心思收集的1t的学习资料（笑）
至于中那些有破坏性病毒。。。大不了重装嘛，反正有备份的

AlphaRabbit

877906025Z 发表于 2023-11-26 08:42
反正是对于我来说就是有一个足够可靠的个人版安全软件，能帮我在我连接公共WiFi的时候拦截住某些半吊子的入 ...

确实（tashikani）

装甲未被击穿

我能碰到的威胁貌似只有打印店带回来的U盘病毒聊天窗病毒都没有碰到过

AlphaRabbit

装甲未被击穿 发表于 2023-11-26 08:48
我能碰到的威胁貌似只有打印店带回来的U盘病毒聊天窗病毒都没有碰到过

Are you silly ?

我显然说的不只是你会遇到什么病毒（麻烦回去认真的看，包括我列出的参考资料）。

GreatMOLA

怀疑楼主在内涵某些人。

AlphaRabbit

GreatMOLA 发表于 2023-11-26 11:09
怀疑楼主在内涵某些人。

去掉怀疑。

Miostartos

我倒是看出来楼主很喜欢男娘
我很早就看穿了，考虑到我的需求一个性能影响较小，强度足够不影响使用的单体杀毒软件绰绰有余。
所以我笔记本上了个ESET，台式最近换上了自己提取的WSCS

AlphaRabbit

Miostartos 发表于 2023-11-26 12:40
我倒是看出来楼主很喜欢男娘
我很早就看穿了，考虑到我的需求一个性能影响较小，强度足够不影响使用 ...

楼主就是（mtf）啊

装甲未被击穿

AlphaRabbit 发表于 2023-11-26 08:54
Are you silly ?

我显然说的不只是你会遇到什么病毒（麻烦回去认真的看，包括我列出的参考资料）。

？我只是发表我日常碰到的情况，并没有说你的文章有什么问题。上来就说别人蠢，素质低不低啊