【框架方法】威胁建模的两种常见思维模型：STRIDE 和DREAD模型

威胁建模Threat Modeling，一个不断循环的动态模型，主要运用在安全需求和安全设计上。

威胁建模是一项工程技术，可以使用它来帮助确定会对您的应用程序造成影响的威胁、攻击、漏洞和对策。您可以使用威胁建模来形成应用程序的设计、实现公司的安全目标以及降低风险。——GBT20984

一般采用的是STRIDE 模型（威胁识别模型），其实就是思维的方法论，帮助大家在做安全测试、Web渗透测试等时，尽可能覆盖大多数的系统/安全威胁。

先通过对测试目标做功能上的分析，再做威胁建模，用STRIDE模型从6个方面（Spoofing伪冒、Tampering篡改、Repudiation抵赖/否认行为、资讯泄露、拒绝服务、提升权限）分析，确定攻击面Attack Surface，然后是实测验证，最后再输出报告。

此外，还有一种模型是DREAD模型（威胁评价模型），包括以下5个方面：

a.     危害性（damage）:如果被攻击了，会造成怎样的危害

b.     持续生产（reproducibility）：攻击后恢复运营的简易度

c.     难度系数（exploitability）：实施此项攻击的难度是如何

d.     受影响用户数（affected users）:有多少用户会受到此项攻击影响

e.     发现系数（discoverability）:这项威胁是否容易被发现

那么如何评估？可从高、中、低三个等级入手：

计算方式：

一个漏洞具体等级，基于上方标准，计算给定威胁的值（1-3）。结果范围为5-15.这样就可将总分12-15的威胁评价为高度危险，8-11的威胁评价为中度，7-7的威胁评价为低度。

此处引用《白帽子讲web安全》（纪念版）示例：

在一个web网站中，存在用户账号被盗威胁，根据DREAD进行评分如下：

a.     网站登录页面存在暴利破解：D（3）+R（3）+E（3）+A（3）+D（3）=15

b.     密码找回存在逻辑漏洞：D（3）+R（3）+E（3）+A（3）+D（2）=14

c.     密码可能被嗅探：D（3）+R（3）+E（3）+A（1）+D（3）=13

d.     服务端脚本漏洞（如SQL等）：D（3）+R（3）+E（2）+A（3）+D（1）=12

e.     钓鱼网站：D（3）+R（1）+E（3）+A（2）+D（3）=12

f.      XSS或其他客户端威胁：D（3）+R（2）+E（2）+A（2）+D（2）=11

g.     病毒或木马：D（3）+R（1）+E（2）+A（1）+D（1）=8