nexus/wiki/concepts/Threat-Modeling.md

Threat Modeling

Definition

Threat Modeling is a structured approach for identifying and prioritizing potential threats to a system, and determining the value that potential mitigations would have in reducing or neutralizing those threats.

Concept

威胁建模是一种系统化的方法，用于识别和优先处理系统的潜在威胁，并确定潜在缓解措施在减少或消除这些威胁方面的价值。

When to Perform

Design Phase (Shift-Left)

• 新系统架构设计时
• 重大功能变更时
• 系统集成前

Development Phase

• 安全编码时
• 安全评审时

Operations Phase (Shift-Right)

• 定期复审
• 重大安全事件后
• 系统退役评估

Process (STRIDE Framework)

S - Spoofing（欺骗）

伪造身份，如会话劫持

T - Tampering（篡改）

修改数据或代码

R - Repudiation（抵赖）

否认执行的操作

I - Information Disclosure（信息泄露）

未授权访问敏感数据

D - Denial of Service（拒绝服务）

使系统不可用

E - Elevation of Privilege（权限提升）

获得超出预期的权限

Tools

• Microsoft Threat Modeling Tool
• OWASP Threat Dragon
• IriusRisk
• draw.io + 威胁建模模板

Output

• 威胁文档
• 风险矩阵（概率 × 影响）
• 缓解措施清单
• 安全需求

Best Practices

1. 从攻击者角度思考
2. 覆盖所有信任边界
3. 考虑依赖组件的安全
4. 定期更新威胁模型
5. 与安全专家协作

Related Concepts

• DevSecOps — 威胁建模是安全开发的重要实践
• Shift-Left-Security — 早期安全分析
• Zero-Trust-Architecture — 零信任架构
• Risk-Management — 风险管理
• Security-Design — 安全设计

Sources

• what-is-devsecops-best-practices-benefits-and-tools