Threat Modeling

🚧 저도 공부중인 부분이 많아서 잘못되거나 이상한 부분이 있을 수 있습니다. 이 글을 신뢰하진 마시고, 혹시나 잘못된 부분이 있을 경우 댓글로 알려주시면 정말 감사하겠습니다 :D

Introduction

Threat modeling은 가치 있는 무언가를 보호하기 위해 위협과 완화 방안을 식별하고, 쉽게 이해할 수 있도록 표현합니다. Application, System, Service 등에서 보안에 영향을 끼칠 수 있는 모든 정보를 구조화하여 표현하고 이를 기반으로 보안적인 문제를 식별하는 방법론입니다. 저는 크게 아래와 같은 플로우로 정리할까 합니다.

• Decompose the Application: 자산 식별 및 DFD, PFD 외 여러가지 Diagram 작성
• Identify threats (modeling): 위협 식별
• Mitigate: 완화 방법 도출
• Validate: 조치확인

🖍 Decompose the Application

OWASP 문서 기준으론 아래와 같은 항목들을 정의해야합니다.

Attribute	Description
Threat Model Information	사용할 Treat model을 정의합니다.
External Dependencies	디펜던시를 정의합니다. (관리할 수 없는 영역)
Entry Points	시작지점, 즉 상호작용할 수 있는 인터페이스를 정의합니다. (+Trust Levels)
Exit Points	종료지점, 클라이언트 등 구성 외부로 나가는 구간을 정의합니다.
Assets	자산을 정의합니다. (+Trust Levels)
Trust Levels	신뢰 레벨을 정의합니다.
Data Flow Diagrams	DFD를 그립니다.

DFD (Data Flow Diagrams)

DFD는 데이터의 흐름을 그리는 Diagram입니다. 모델링 방법에 따라 약간씩은 다르지만 보통 어플리케이션, 시스템, 서비스에서의 전체적인 데이터 흐름을 표현합니다.

PFD (Process Flow Diagrams)

PFD는 어플리케이션의 동작 프로세스를 표현하는 Diagram입니다. DFD와 다르게 서비스의 동작 흐름에 초첨을 맞추어 악용하는 사례를 얻어내는데 유용할 수 있습니다.

Other

🌀 Identify Threats

STRIDE Model

STRIDE는 Microsoft에서 만든 Threat modeling framework로 여기에 포함되는 주요 유형인 Spoofing, Tampering, Repudiation, Information disclosure, Denial of service의 앞자리를 따서 만들어졌습니다. 이 STRIDE 유형을 중심으로 DFD나 PFD 같은 Flow Diagram을 그리고 이를 기반으로 Treat과 대응방안을 식별합니다.

	⚔️Threat	📄Description	🛡Desired property
S	Spoofing	공격자는 다른 사용자로 위장합니다.	Authenticity
T	Tampering	공격자는 시스템과 사용자 간에 교환되는 데이터를 수정하려고 시도합니다.	Integrity
R	Repudiation	공격자는 작업한 내용에 대해 부인할 수 있습니다.	Non-repudiability
I	Information Disclosure	공격자는 시스템이 전송하거나 저장하는 중요 데이터를 읽을 수 있습니다.	Confidentiality
D	Denial of Service	공격자는 시스템의 가용성을 저하하거나 해칠 수 있습니다.	Availability
E	Elevation of Privileg	공격자는 권한 상승을 통해 시스템에서 권한을 받거나 권한 외 정보에 액세스할 수 있습니다.	Authorization

STRIDE-per-interaction

Interaction(상호작용)을 기반으로 Threat을 분석합니다. 아래 STRIDE-per-element 보다 시간, 리소스적으로 이득이 있어서 이 형태가 선호된다고 합니다.

STRIDE-per-element

각 Element를 기반으로 Threat을 분석합니다.

DREAD Model

DREAD Model은 Risk management적인 모델이지만 일부 Threat modeling 으로 쓰이기도 합니다.

	⚔️Threat	📄Description
D	Damage	공격의 데미지
R	Reproducibility	공격을 얼마나 쉽게 재현할 수 있는지
E	Exploitability	공격하는데 얼마나 많은 작업이 필요한지
A	Affected users	얼마나 많은 유저가 영향을 받는지
D	Discoverability	쉽게 찾을 수 있는지

P.A.S.T.A

P.A.S.T.A는 7단계의 프로세스에 따라 Threat modeling합니다.

	Step	Description
1	Define the Objectives	Object를 정의합니다.
2	Define the Technical Scope	Scope를 정의합니다.
3	Decompose the Application	서비스를 상세하게 나눕니다.
4	Analyze the Threats	위협을 분석합니다.
5	Vulnerability Analysis	취약점을 분석합니다.
6	Attack Analysis	공격을 분석합니다.
7	Risk and Impact Analysis	리스크와 영향력을 분석합니다.

VAST

Agile 프로세스에 Threat modeling 합니다. 애플리케이션의 동작 흐름에 따라 PFD를 작성하고, 인프라 구성에서 DFD를 작성합니다. 다만 DFD는 단순히 데이터의 흐름이 아니라 공격자 관점에서 진행한다고 합니다.

Mitigate

Threat modeling으로 발견된 위협 및 보안 취약점은 당연히 완화 또는 조치가 필요합니다. 시스템 구성에 따라서 적절한 조치 또는 완화 방안을 찾아 위협을 줄이는게 좋습니다.

✅ Validate

실제로 적용되었는지 위협이 완화되었는지 체크해야합니다.

Tools

• https://capec.mitre.org
• https://app.diagrams.net (draw.io)
• https://github.com/plantuml/plantuml
• https://github.com/OWASP/threat-dragon
• https://github.com/mrwadams/stride-gpt

Draw.io

Diagram을 그리는 목적이라면 draw.io는 정말 좋은 선택입니다. threat modeling이 아니여도 flow chart 그릴 때 유용하기도 해서 익숙해지면 좋은 도구입니다.

OWASP Threat Dragon

🪴 Resources

• SANS
• NIST 800-154, NIST-800-53
• OWASP Threat Dragron
• CSEt
• https://csa.gov.sg/-/media/csa/documents/legislation_supplementary_references/guide-to-cyber-threat-modelling.pdf
• http://cyberdeveloper.pro/?p=170
• https://github.com/OTRF/ThreatHunter-Playbook…
• https://wiki.openstack.org/wiki/Security/OSSA-Metrics#DREAD…
• https://vdoc.pub/documents/risk-centric-threat-modeling-process-for-attack-simulation-and-threat-analysis-6iqn1kkvi5l0
• https://www.mitre.org/sites/default/files/publications/pr_18-1174-ngci-cyber-threat-modeling.pdf
• https://github.com/hysnsec/awesome-threat-modelling

References

• https://owasp.org/www-community/Threat_Modeling_Process
• https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet.html