《2023加密货币交易中心建模框架.docx》由会员分享,可在线阅读,更多相关《2023加密货币交易中心建模框架.docx(29页珍藏版)》请在课桌文档上搜索。
1、加密货币交易中心建模框架啾的.加密货币是一种新耶及济力但人IrM般全懂存在担忧.这在一定程度上酗于传统安全评is策略可就会错过复杂的共谋案件和新的成胁向为了解决这些叵题msTABC逗是一种基于资产的加密货币威胁建模框架,能够识S股忸纲险-ABC的关铤创新是共谋矩阵的银用共谋矩W迫使威防模型覆盖大威胁案例同时管理此过程以防止其过于复杂岭卜ABC处得出了系蜕特定的威胁类别,该类别考虑了金融方面和加密货币引入的新资产类型,琳理册行用户研究和屉示母女世界的用例来证明ABC是有效的所研制桂/71%使用ABC的参与者签够汉别财务安全威胁而使频行框架STRIDE的参与者中只有13%这些用例进一步证明了ABC
2、工具对于以下两个方面的有用性:基于加密货币的系统以及云原生安全技术这显示了ABC作为各种类型的大型分布式条蜕的有效安全评估技术的潜力1简介加密货币和区块链技术是一股新兴的经济力量自2009年比特币出现以来63这些微字货币臧量在2019年已增长到数千种总市值侬3800亿美元16。帏这些货币价值的增长锁曲目标也在发现匕。早期缄统仅专注于提供麟I货币交换媒介26,63-1驷今人假稣越承麒供其修勇的分布就鹿例如计算外包(18)或文件存储36这种媒介,这些较独变睡小眯来JI拜基于力隆货币的系辎采用将会增加。然而,尽管它们提供了许多优势去中心化透明度和降低的服务成本但与承诺之间仍然存在很大差距。由NSFC
3、CF-14233O6支持由NSFCCF-1423306和NSFCNS-1552932支持加密货币及其在实践中的表现。一个主要的障碍是人们认为这些系统不安全过去几年宣布的大量安全漏洞证实了这些疑虑2,4-7,11-13,15,17,19,20,23-25,29,31,33,34。因比穗更弛了解加密货币的安全性以确聘在新兴应用程序中的安全部署和持续采用。设计安全系统的最佳实践需要威胁建模步骤来调查潜在的安全风险。这样的模型可以指导开发人员在设计阶段部署适当的对策并在设计后阶段评估系统的安全级别。尽管威胁建模已在文献中进行了深入研究,但现有范例主要针对软件应用程序51或具有少至参与者类型的分布式系统
4、62这些威胁建模技术的设计目的并不是像加密货币那样可针对一组不同的、相互不信任的各方进行扩展。此类系统根勒喳提供分砌艮务的系统拗演不同角色的各方(矿工、客户端和不酸哪服务器正成攻击者可以腐I晚些各方的田可子集。更复朝是攻击者可能会寻求针对级中的田可角色并可能发起具有不同预期结果的多种攻击悌这些集合的增长推嘲暗理威胁案例的复杂性变得难以处理。为了解决这些问题挪阖出了ABC一种基于资产的嗜货币的威胁建模框架ABC引入了一种称为共课知阵的新技术允许用户醺整个威胁空间并管理其复杂性,共谟矩阵是一种全面的隋和威胁枚举工具它麴靖虑所有可能的攻击者和目标方集合来直嬲决共谋诃题。ABC通过抖滁不相关的场景并合
5、并具有相同效果的威胁案例来减少这些案例的组合增长这种对攻击者串通的明确考虑对于允许任何人力队的无需许可的加密货币尤其重要。ABC的模型还经过专门设计,可以更好地考虑力睦货币的威胁领域这是通过引入新的威胁物IJ来实现的这些威胁类别考虑了攻击者的经济动帼麻的资产类型艮啦些系统引入的美雌件。ABC通过列出系统中的资产(例如区块链和点对点网络来识别这些类别并视每项资产需要什么安全行为。然后威胁甥噬定义为任何违反这些资产安全要求的行为。这种方法产生一系列特定于系统的威胁类别而不是先验固定的通用威睚别娜。ABC的另一个特点是承认财务激励和经济分析可以在设计过程的其他步骤中发挥重要作用。这些工具可用于风险评
6、估和腻轻某些无法通过加密方式消除的攻击。为了证明该框架的有效性我们进行了用户研究并准备了用例。该研究比较了受试者使用ABC和流行框架STRIDE构建威胁模型的表现。之中根据获得的结果我们发现应用ABC的人中约有71%能够识别加密货币系统中的财务威胁而应用STRlDE的人中这一比例不到13%此外跳演STRlDE会议参与者发现攻击者之间存在勾结,但使用ABC的人中约有46%发现了这些场景。对于用例,我们将ABC应用于四个现实系统:tt将币63Filecoin36CacheCash和SPIFFE30案例证明了ABC工具的有用性因为它们很好地集醐了CaCheCaSh的设计阶段并揭示了FileCOin公
7、共设计中几个缺失的威胁场景。岭卜物诩月ABC在本文作者之一与致力于评估和提高SPIFFE(Linux基金会托管的基于云的身份生成梅架安全性的团队之间的合作中具有优势使用ABCSPIFFE小组筋够以系统化的方式推理所有威胁案例确定关键威胁然后相应地里磔解三施的觥级这证实了ABC作为评估和提高安全性的有效工具的潜力不仅适用于基于力脸币的系统而且适用FH投的大规模分布式系统2相关工作为了让读者了解当前威胁建模的最新技术我们&此锭了该僦之前所做的-虹作,我ICK重点介绍喀货币威胁识别和安全分析的相关工作。威胁建模框架STRIDE框架由MiCrOSoft开发,作为其安全开发生命周期(SDl)的一部分是该
8、领域最早和三受欢迎的作品之一51,69STRIDE是该框架涵盖的威胁类别的首字瑁缩写Bf三i酬否认信息蟠、滕服务和特权提升该框架是一个多步骤过程涉及了械!件应用程序功能、使用数据流图(DFD)捕获其操作流程、将这些DFD的组件映射到前面提到的威胁类别以及采用威胁树模式派领体威胁*尽管一些解决方案已经扩展了STRIDE以适应更复杂的系统62并涵盖其他安全要求,例如掰从45,56但其模型不适合加密货币另一项研究71证实了这一前提其中f诸将STRIDE的威胁类别扩展到姑理类似比特币的社区货币但他们的做法只是针对社金运作;需要进行更多修来处理货币兑换媒介的其他组成部分以及典他类型的分布式服务其他范式采
9、取了略有不同的方法KAOS(70是一个面向目标的需求工程框架由解I见鳏全性它分析系统的反安全目标以识另Ht三潜在危害的威胁类型。T-MAP43是一个值针对商业现成系统的驱动框架。它网I断有攻击路径并根据组织(或业务策略来帮助评估安全实践。ANOA41是一个通用的定义和分析通信网络匿名性的框架l三W38,50中提出的框架针对数据路由的安全设计协议,最后,其他工作为特定将脚犍专门的威胁模型分布式系统例如存储系统48、虚拟目剥蹈44、和无人机系统52而不是引入一个框架。上述工作表明不同类型的系统在进行威胁建模时有不同的要求这强化了这个想法加密货币等新兴系统需要专门的威胁建模工具。加密货币的安全性分析
10、到目前为止完成的大部分工作类别可分为两类。第一类形式化了共识协议和区块链由皮全属性46,65,其目展提供安全概念和严格的框架来证明安全性基于区块链的系统而第二类讨论特定的安全性对加空货币的攻击例如在一系列关五唬币的院中Bon-neau等人42提出了几种安全威胁Androulaki等人39卿价其匿名国生Gervais等人47研究如何篡改网络链接会影响参与者对区块链的看法Kroll等人。55研究比特币挖矿的经济学以及旷工财务激励对其的影响安全。其他涉及不同类型加密货币的作品包括Luu等等人57,58关注以太坊智能合约的安全威胁72科斯巴等人54谁提供了去中心化智能合约的模型保护用户的隐私Sanch
11、ez等人59,60谁分析了安全性Ripple26及其网络中钱包和交易的可链接性-IkMoser等人最近的一项实证研究。61表明交易保护隐私的加密货币MOnerO22是可追踪的并且它们的可以识别其实的输入。还有Y作者是KaPPoS等人。53棚Zcash35中私人交易的匿名集可以使用来自硬币使用模式的简单启发式虽然这些攻击描述非常有用但它们仅概述了具体的给定系统的威胁场景然而我们的目标是开发一个框架,允许推理任何面临的全套潜在攻击基于加密货币的系统3逐步了解ABC框架在强调了对特定于加密货币的威胁建模框架的需求之后我力:现在提出了可以满足这一求的ABC模型作为一种系统叨法,应用ABC首先要了解AB
12、C的功能正在设计的加密货币系统,重点关注其资产类型和财务参与者的社会动机(第3.1节)接下来是嬲有影11瞰威胁类朋m它们映射到系统资产(第3.2节)。ABC指导系统设计人员使用一种称为共谋矩阵的新工具提取具体的攻击场景这有助于探索和分析完整的威胁空间(第3.3节)丽ABC承认财务激励会影响其他设计步骤包括风险评估和威胁缓解(第3.4节)。为了使讨论更容易理解,我们通过描述ABC过程在以下简化系统中的应用来说明ABC过程蹄统受到GoIem18的启发:COmPUeoin是一种提供分布式计算外包服务的加密货币拥有过多CPU能力的一方可以作为服务器加入系统,为其他方按翻行计算客户端向服务器提交计算作亚
13、等待结果和正确性证明然后用加密货币代币向这些服务器付款CompuCoin中的挖掘过程与向系统提供的服务室相关,也就颗僻服务器来挖掘区块链上下一个区块的概率与其在特定时期内执行的计算量成正比。CompuCoin的完整威胁模型可在线获取(32几段礴该模型的内容嵌入到随后的ABC步骤的讨论中3.1 系统模型表征了解系统是威胁建模过程中的重要步骤误导性或不完整的系统描述可能会导致设计人员忽视严重的威胁和/或纳入不相关的威胁因比海瞰系统模型必须概述系统的使用场景、所依赖的假设以及对外部服务的fi三关系此外整场了解所有参与者角色以及每个参与者攻击系统的任何可能动机对于后者评估者需要考虑这些参与者的经济利益
14、如何影响他们的行为此外系统模型必须定义需要保护免受攻击的铝幽件这些组件代表如果受触攵击就会危及整个系统的资产为了捕捉系统的特征ABC根据功能来识别这些资产具树脱ABC将系统划分为模块,并将每个模块中有价值的组件标记为奥产资产可以是具体的资源也可以曷艘的资潮62。例如区块链和货而可以被视为具体资产,而保护用户隐私贝何以被视为抽象资产蹑后系统模型包括其工作流程的图形说明,对于分布式系统然网虢刿62很有用其中系编聪由显示所有参与者和资产以及它们之间板互的图形表示正如我(号第第3.3节中看到的那样这在雌在枚举具体砌场景时非常有用F0曲0侬蜒联期fgoQuiwinCompuCoindescnpoonin
15、troducedearlier.DePendney嘲;ftaverifiablecomputationoutsourcingprotocol.MiBerseor*UBbofor a paymentBtotkchain,WempayrnentsAssmgo(gQnfeTvicSe2eerew三n(yments).blockchain,currency,transactions,ancthecommunicationnetwork.图1CompuCoin的系统模型特征。运行示例应用程序图1说明了此步骤在ComPUCOin中的外观除了计算外包服务的网络模型之外,它汪显示了系统模型的各个组件为了覆盖系
16、统的全部功能魏其他网络模型来硼绚牛例如挖掘和共识过程。此外港中脸咧表并不详尽并且受瓠XZompuCoin提供的相当简短的描述的限制。如图所示任何人都可以作为客户陶Q眼为黝IIACOmPUCOin瞄5S也充当ST工m色对其他颜的依然可琏包括对可验证的外包计算协议的依敕硼64)林资产而吉州月以在CompuCoin中定义三个:向客户承诺的服务用于补偿服劳的W款以及涵盖四个子资产的货币兑换媒介(根据比特币的Ir展申查42):区颇货币交豳及略序线(A呼胆湎S在涯人们可以将货币与一种资产的交易合并因为交易朗隰硼代币所有权的货而代币另一种选择是桁货币与支付宽产合并,网解院中的所有赁市流动然而我fW5在识晒耐
17、剧酬频以提供更S踊灾理3.2 威胁类别识别了解系统模型后下一是确定必须调查的广泛威胁类别对于每个系统组件系统分析yj三述了可能适用的所有威胁类别这里ABC放弃了使用先验固定列表的传统做法而是使用受需求工程启发的自适应方法45这种方法将威胁定义为违反系球全目标的行为。鉴于资产会全漏洞的目标ABC将这些威胁将症义为违反资产安全要求的行为。这允许琏系统特定的威般别秘ABC以与设计中的系统功能一致的方式识别资产表1ComPUCOin威胁类别澧产安全成胁类班服务服务我怀(为害户猥供榛坏的服务也也服务(快合法用户无趣得翩)信息公开甩务内容/用关敛据公开)否认(嬲就可以生期I槿供的翩)服务何取服务保急(服务
18、器在未执行所有承诺工作的情况下收取费用)服务赛窃(哲户以低于妁定金81的付款K得正确的翩)区域的不一致(的矿工丽的区体可能与未径W姒的区快不同)无效区块果用区块1包含不符合乐优堪纶的无效区缺)砌见的更犷(丁工仰我碰了网所需的网来当然以礼籁区段S5)交口否认(攻击者否认发出交易)刘改(攻击畲探出生扰中的交易去国名化(攻加中用交易可钿吟侵犯用户的出名性)战正货币盗窃(攻击者从系统中的其他人那里窃取货币)对珞邸匕倒陟瓣拒绝眼若(中咨底层网络的场行),评估者检查每殿产并应用以下程序可识别其威胁类别:-定义资产安全行为的构成,并则绯哂出叱劭迭唾求告敌羸际将更铲斯蕊件例扣CompuCoin的服务器提供计算
19、外酶务并收取回报如乐讯以下条件人1可以认为时支付资产是安全的a)服务器因其工作而得到适当的奖励b)他fH得了所收取的付款,-将资产的威胁类别定义为违反其安全要求与J面铺仔联系起来月第支付资产将具有以下威胁类别:月造偷懒日印照器敬有蜘所有承诺工伸情况下收取朦;以及躺盗窃艮喀户端以低于客户的价格获得服务。商谈额。前面的步骤高度依赖于系统分析师如何定义资产的安全属性特别是在文献中没有达成一致的定义的情况下。例如有几部作品研究了区块廨哄识协议的安全性(42,46,65。然而聪资产没有统一的安全概念因为每班型可能有不同的要求。运行示份应用程序将此步骤应用于ComPlJCoin会产生表1中列出的威协类别(
20、附录A中介绍了导出安全要求并否定它们以产生列出的威胁的详姆程),我们发现蹒在为第5节中介绍的所有用例构建威胁模型时另踹有用其中挪用列出阴蜀般射到每个系统中的资产在Iit映蝴程中琳选现由于缺少建资产一胁类型不适用。醴抚的是I:邮雕T询是与货府澳媒介假说诩,另一方面刘魄翔羲吟咻所有实例中复制具中一些类别.例n在Filecoin中针对该系触供的网物蹈类型(即文件存储和检索辰制了所有服务资产威胁这显示了系统特征如何影响ABC中的威胁类别识别步骤3.3 威胁场景枚举和减少一旦确定了威胁类别下一就是枚举每种威胁类型下的具体攻击场景在Ht0骤中备班提要尽可能全面考S所有潜在的攻击者和目标方,以及攻击者可能采
21、取的一系行动以及他们为实现目标而必须具备的能力M及考虑可能合作攻击系统的多个参与者之间的勾结。椒哄谋在加密货币中尤为重要货币激励的存在可能会促使攻击者以比传统分布式级更多的方式进行共谋由矿池引睡旅行的中心响题证明了这一事实廓尚谢1池疑时它们可!却I行毁灭!蝴攻S艮唯犷工也可能通过腔或拒绝网络协议的更新来串通从而导致系统中的硬分叉。ABC可以在系统设计的早期阶段检或画这些和其他共谋案件为了实现这一目标ABC引入了共谋矩阵指导分析师枚举所有共谋案例并推理系统中所有礴场景的可行性共谋蝌是*9行代替替在的攻击者列代裹目标方对于行我ffB此了统锄所有参与S睡刨舌单独m施种可触朔合.航趣口了f繇)3邮侬捌
22、代衷系缈陪和所有实体.对列进行同陶臊作但3邰潮除在外,楣融义夕邮方不是系编上部分因此不能成为目标,这些矩阵中的每个单元格代表T需要除的潜在威胁案例,图2显示了CompuCoin中服务盗窃威胁的共谋矩阵示例随附感噂型中的虚线椭图包围了一M员务会话即陪瓠客户端之间的交互此矩阵中攻击方多方的任何条目者嫩明存在共谋请注意参与者标签可能像精不同的角色具体取决于其放置的ffi硕1SS2中目标雕嫡陪器“对应于单许唾(即BOb),因知磅会话图2ComPUCoin中服务盗窃威胁的共谋矩阵。仅涉及一台服务器。然而攻击者献下踪器W标签f言彻中的所薄质器包租Ob。因比图2中灰色阴影的单元格并不表呻艮为器串通攻击自己而
23、是代领他服三g与AliCe串通攻击Bob的情况。对于映射到系统中资产的每个威胁类别单独的共谋矩阵的创建和分析如下:1枚举:在It畛骤中貂粉析人员检查每个单元并枚举具有特定能力的攻击者可以针对目标方使用的所有策略并记录硼程考虑系统组件的网络模型很有用,因为它们显示了参与者和系统资产之间的交互。2)减少:在检查每T单元A寸然粉析,瞬过以下方式减少威胁案例0徽量:-消除代表不会对系统产生威胁的场景的单元格。这包括划掉删除的单元格并记录删的!理由例如在图2中以客户端为目标的单元与月路盗窃威胁无关。这是因为客户不向其他人提物鹿。礁其他情况被系统保设或早期设计选择所抵消,也可以被删除例如要求所有交易均由其
24、发起者签名可以排除交易否认和篡改攻击-将具有相同效果或不会因共谋而变得更强的场景(和相应的单元格后并在一起。例如诲中Alice与其他服务器串通以避免向Bob付款的灰色阴影单元被简化为Alice是唯一攻击者的情况这是因为只有AliCe为她从Bob收到的服务何费而其他服务器不是协议的一部分44这些客户与Alice串通放弃/扣留这些付款的情况是其他威胁的一部分例如DoS攻击BrKXWBflE力1人,上KafieBnilXifwvHXLUM-*务”三po*r(-M电模emwBfcAaWP三nt三RRMAXIIala力bttfmw三客户ts修务器和*n图3:分析ComPUCoin中服务盗有威胁的共谋矩阵
25、3)记录:系统测J人员记越少捌螭馀的所有砌渊也相说每个记釉嬲网艇礴幽、丽第两、攻击考行动流程便攻击可行的所有先港件以及合并和Ill除包诉因(如果有)矩阵的做数和每个矩阵的大小取决于系统待数例M)梦与老角色旃或刎上越减少步舞以有记录的、有嬲敝加:消除了大的细胞.节省了时间和精力抵行示例应用程序CompuCoin威胁模型有11个共谋矩阵32翔百里展示其中之一:月甥盗窃威胁共谋矩阵JlSB所示硝所示21个单元可以减少到只有2个威胁场景(合并和排除的单元分别以粉色和黑色明影显示),右比矩阵中,帝除+和惭兄雌包括药情碘隹河F的所有单元格(原因前面已解释过)以及带有1甥器.标题的列下的前三个单元格.这通妫
26、为散和颂.服务器“不能攻击者,因为他们不要求/支付服务5图3显示了其他十个合并案例这包括带有警闩联硼解留标酬洌下曲W单元格这些单元格被筠化刈S攻击福娜这又是三为客户不为他人服务只余合并整恙贿空甥宵礴的列锄最后三个单元格出雉单耐客户端与实体利域其他服务器勾结使目屣务器损失付款-拉狎共iX不会使客户变得更强大因胡螳各方所能做的就是则扣留付敕这是DoS威胁中己且涵盖的选项Sltt所有这些单元都被简(6)单螭户疏攻击者的府兄有人可能会说勺悟队员礁会作为客户附队祭殿执行攻击这种情况包含在矩阵中的客户角色下3.4风险评估和威胁缓解威胁建模过程的结果艮隋频力的威胁案例的记峨为设计人员提供了保护系统安全蒯旨导
27、图在此过程中根据威胁可能造成砌害程度以及攻击者拥有执行威胁所需能力的可能性来确定威胁的优先级非常有用这属于风险宜三郢醺是一项独立于威胁建模的任务使用DREAD51或OCTAVE37等框架执行。ABC通过利用现有的威胁缓解技术与风险管理集成例如许多威胁向员可以使腌常称为检测两螂机制的合理经济激励措施来解决也就是说理敛I跚*物矿工攻击曲阚惩罚其他炯以依财设1十弊法当W恶意方式执行时,该算法会比诚实执行消耗更多资源即产生更的成本这些方法可以使用t麟论方源68)来设置设计参数从而使作蜿利可图。侬将玩家之磔姣互建梯喙济僦可以计算所有玩家策略的经济收益。然后,对参物格黄S使唳格比弊三都呵图.可以使用相同的
28、程序来量化这些财务威胁可能造成的损害,换句话说应该优先考虑可以给攻击者带来巨大回报的威胁而不是产生做J南期的威胁这强化了这样的情去:力喏货币需要一个扩展的模型来探索风险并应对风险运行示例应用程序为了雌ComPUCoin中的这一步骤我们虑图3中的提炼威胁场景遹破1十逐当的技术使客户将付款锁定在托管中并在请求任何服务之前创建罚金可以从财务上消颜两种威胁如果客户进行欺诈(可能是通过发出带有其签名的无效付款),贝I落户将蜂押金存款金额需要至少等于作弊客户与诚实客户相比可能获得的最大额外收益这使得作弊无利可图,因此对理,第户没有吸引力。4评价为了评估ABC的有效性我们了f实i跌验将其与广泛使用的威胁建模
29、框架STRIDE51的性镂进行比较。我们媛择STRIDE进行比较因为它是系统设计者在缺到喀货币特定框播睛况下杂向的模型类型的流行示例71该螂采用用户研究的形式要求参与者使用这两个框架之一为简单的加密货币系统构建威胁模型挪邦庄要目标是测试经济激耐共谋是否会影响期发现的威胁因此我们的评估重点是回答以下问题:1 .威胁建模框架是否会影响主体如何表征系统模型?2 .每个框架的砌类别是否影响广泛的威胁类别由受试者识别?3 .参与者使用ABC时构建的威胁模型是否比使用STRlDE时更准确?4 .参与者是否认为ABC/STRIDE方法易于使用来完成研究?接下来我对论研究方法和一些见解从调查结果中得出。4.1
30、 方法论我们招募了53名参与者主要是弊较全项目的硕士生.我们用五个受试者作为试点小组来财蹄院善我们的材料其余48名参与者被随机分为两组每组24人其中一组使用STRIDE构建威胁模型另-三眠收。每次测试持续三个小时分为两个部分:4组嘀Irb人完成砌建。1缴庭首先进行了20分钟的加密货币概述然后进行了1小时的应用框架培训。ABC教程包含本文中步骤的摘要对于STRIDEW7三21,45,51,69中的材料准备了一个教程。幅参砥有25分钟的休息时间以减轻疲劳影响.会议了15分钟的ArChiVeCoin概述受试者将为该系统构建威胁雌MhivKoin是一个受FileCOin36启发的简向口密货币系统主要关
31、涉照及其奖励以适应学习期间。在研究课程的剩余时间里个人独立完成威姗弁。由于分睹时可前我(度求受靖在步骤3中仅研究一种威胁类别即文件检索蚓磅盗窃。翱岩湖示例中未使用此隔J以避免婚出现偏差,参与者执行步骤1和2(系统模型表征和威胁类别双别)然后疑他ffW答案第耻时他们才获得第三步的材料其中要求他们引出文件检翱甥盗B的威胁场景这样做是为了让在回答步骤2时错过此威胁的参与者无法改变他H的回答最后参与者喔求填写洵礴驿画晦在调查问卷中他们评估应用他6嘶使用的威胁建模框架的雉易程度,我们的研究工具和所有支持材料均可在线获取32JABCIISTRIDE - -T- TlnuTQ- TQi -i 8 6 4 2
32、 0ao.d O200 PdZI-BUDONTotal既黑PartiapantsAssetsN。%*Odo图4:第1步的科目分数。菱形表示e均值4.2 研究结果在本节中我们使用前面概述的四个问题作为指导来展示研究结果。对系统模型表征的影响在每个威胁建模框架的第一步中除了绘制系统的网络模型之外唠求受试者通过定义其模块资产和参与者角色来表征系统模三,礁导KBC贝I的数据雌(DFD);喉是STRIDE赃啜播耀(DFD)为了量化框架对此步骤的影响我们使用在研究之前为ArChiVeCoirl构建的参考威胁模型来计算主题分数6我们标准彳匕后报告这些分数这意味着我Iia呼它们除以正确回答所有问题时可能获得的
33、最大分值步骤1的结果如图47麻。嫡标ABC的得分高于STRIDE曲均值分别为0.92和0.69。分析步骡1中子步骤的响应发现了一些有趣的观察结果第T与识系统中的金融资产和模块有关(如图5所示)。如图标几个应用STRlDE的受试者并未将付款(或货币网的布相反他曲靖韵雅弊耕的用闩文件同择他们的大多数人也没有6我们构建了两个多考模型ffiSTRIDE另一tmBC来评估每个框架会话的响应尽囹眦邮个中生成了相同的引发威胁案例列表,7该图是一个箱线图口4它飒显示最大值和最小值(箱体上方和下方的须线)中位数(箱体内的水e线)以及与此相关的数据点来显示数据点的分布跨蹴一5啜三四分位数(盒子本身)如果这些点中的
34、大多数非辖接近贝咳框会被压缩成T线。24128 SMqnSjoONABC STRIDE1.astedPaymentComponentListedCurrencyAsset图5:网技付相第块和妒的主!酬率将支付过程视为一个系统模块并仅关注文件存慵和检索过程另f面A8C会议中的大多数主题都识别了这些与金融相矣的资产和模块,这嵯耨明使用传统的嬲犍模框架而不是为货币激励系统定瞬框架可能会电评估人员忽视寮统的财务方面反过来这可耗会导致尊的砌案例被忽视从而使系统容易受到攻击第二个观察结果与受试者如何定义系统中的够与者角色有关如图4fjpSTRIDE在此类别中的e均得分为1醐BC的均得分为0.89磔STRl
35、DE会话主题都正确定义了参与者角色,在该唯中,仅建葡:3三崛器对于ABC尽管其教程提到与者角色中必须考虑外群实体但相骸会话中的所有受试者都?其响Sifi录了此角色,这指出了一个垂要的观察结果。评估者可能只考虑与系统交互的内部攻击者而忘记外古陵体也可能有动机并且有能力进行攻击。考虑夕郦攻击者不仅会影响步界3中引出的具体威胁场景还会影葩步骡2中识别的威胁类别Sltt根在谶健模过程6婢期更加更视这一角色殿后第三个观察结果与框架如何影响S试者以图形方式表示系统模块的方式有关图I版ABC和STRlDE的网络模型/DFD子步骤的。均得分分别为0.98和0.44STRIDE会议主题很耀为ArchiveCoi
36、n绘制DFD邸)这种表示方式比分布式系统更适合软件应用程序才为面ABC对网络模型的使用使其会话对象更容易完成这项任务并且几乎所有人都正确地绘制了图表如前施1M纭示有助于引出彖野叶的具体威胁场景(步骤3)因此,不准破的图表可魅影彻I或埴辘果,08图6:雌2的ABC和STRlDE分数。娜表示e均值。对威胁类别识别的影响在两个框架的步骤2中受试者被要求定义要调直的广泛威胁类别作为研究材料的一部分应用STRlDE的参与者获得了威胁类别列表,以及STRlDE用户指南21中的组件映射表。同样应卧BC的参与者获得了表1中的列表(仅涵盖服务和服务奖励资产)两组中的主题通过将这些列表映射到系统资产(在ABC的情
37、况下或DFD组件(在STRIDE的情况下来定义ArchiveCoin考虑的类别我。构建的参考模型表明两个框架的映射结果将包括以下威胁类别:月触斛、DoS、信息泄露、服务懈怠和ArchiveCoin提供的两种服务类型(文件存储和检索的盗窃。根据图6中威胁识别步骤的分数与STRlDEbABC的加空货币定制类另腰研究参与者更容易识别相关威胁类别尽管受试者对基于加密货币的系统缺乏经验但朦蒯此ABC科目的均分数约为051三LE的均分数为0.29(请注意这些分数如前所述已标准化),STRIDE使用的通用类8排常适合软件应用程序,但它们不适合货币激励的分布式系统使睡些通用将I的系统分析人员需要花费更多的时间
38、和精力来识别更具体的感兴趣的威胁类别。为了提供有关此步骤的更多见解,翔吩析了识出需要鹤鹿个威胁特I的受试者数星。结果如图7所示我(i段现STRIDE的受试者在DoS和信息泄露威胁方面均领先于ABC的会话参与者。如图7所示大约88%和83%的STRIDE受试者分别识别了这些类别而龙济0%和42%的ABC受试者也这样做了虽然我(港殳有准辞的理由来解释这一结果,但我们U为这可以归因于STRlDE的威胁类别表该表彻底解释了ABC STRIDE246 2 81 1SPd 吾 SjOONServiceCorruptionInfo. Slacking / Disclosure StoraaeSlacking
39、 /RetrievalTbefl Z Teh /Storage Retrieval曲:砌物帜腑主做率。这些类别并提供了详细的攻击示例。因此WWABC教程需要强调这些威胁并更深入地解释它们。相比2下ABC在所有与金触相关的威胁(即服务懈怠和盗窃以及服务腐败威胁方面均领先于STRIDE对于文件检索的服务盗窃这是翔胜步骤3中要求参与者调查的类别STRIDE会议中只有3名参与者发现了此威胁IfiABC会议中有17名受试者发现了这种威胁即第购13%和71%分别。此外期任何STRIDE参与者发现文件存储的服务被盗和文件检索的松弛,市有一名参与者发现文件存储的服务松弛另一方面.明侑67%17%和50%的AB
40、C参与者识别出这些类别这再次表明ABC威胁类别比STRlDE包含的一般类别更好地引导受试者应对与服务和支付相关的威胁威胁模型准确性为了星化准确性我们计算每个主题发现的具体威胁场景的召回率和晴度值并或们为ArchiveCoin构建的参考威胁模型进行比较。召瞬计算为TP(TP+FN)精度计算为TP/(TP+FP),其中郡卅生TP是正确识别的威胁,网月性FN是未检测到的威胁假OlFP是错误定义的磁召酹(精确率我明主体定义了多少有效(无效威胁。两个星的值都在0到1之间根据每个框架中步骤3的结果(即引出具体的威胁场景)我们现应那BC的参与者匕STRIDE会话受试者产生了更多的有效威胁案例e均召回值为0.
41、48和0.4分别。与It同寸使用ABC的参与者发现的不相关案例数垸比使用STRlDE的参与者要少图8:归Tbs分(羞形表示均值)。前者的e均精度值为057而S者的9均精度值为0.488我们认为上述结果可以归因于多个因素酰ABC指导参与者考虑系统的财务方面这会影响弓炭的威胁场景其次共谋矩阵的使用帮助ABC参与者以有组织的方式推理威胁空间减少了随机懒I这与应用于软件应用程序时效果良好的STRIDE威胁侧模式相反ABC的共溟速阵指导参与者发现共谋造成的威胁案例这与仅笑注单独攻击者的STRIDE战模式相反Z榇期STRIDE会话中没有受试者识别出客户端和服务器之间可班存在的共谋案例而ABC会话中的11个
42、受试者识别出了这种共谋案例9这证实了在侬威胁案例时考虑共谋的重要性帼示了ABC矩阵在见理此任务中的有用性所有这些因素都会影晌受试者构建的威胁摸型的整体正确性攵哪麻ABC会话的e均得分为64%而STRIDE的均得分为50%这是根据报告的建模步骤吉果瓶b的刖ABC分数领先于STRIDE的分数框架易用性如前所述在每次会议结束时琳暧求参与者报告所讨论的恁架的应用有多容易易用性麟1李克特表来衡量期1表示蹊低值5表示最高值ABC的e均值为3.9Strideio的均值为3.8维Og阚这IS果变得更加重要8ABC会话中的一名参与者有0个假阴性值和0个真阳性值因此我们在计算均值时将他/她排除在外,fr-m的大多
43、数没有提供对攻击场景的明确描述因此,在对步骤3进行评分时这些不完整的描述不会被视为正确的威胁10三名参与者设有在STRIDE会议中完成调瓷问卷。17表明参与者已经对STRIDE及其威胁树模式有所了解尽管它是框架向参与者引入了几个新m但ABC傲达5J了相当的易用性水e。这表明参与者只需一个小时的培训就能够掌握其概念因此ABe显示出作为威胁建模的可用方法的潜力。4.3有效性的威胁我们承认在考虑研瓣果时必须牢记一些局限性。威胁建模的实ii三究通常跨越较长的时间范围,通常为数月W6,然而我们够收集到一些重飘嚓结果的事实棚可以从短期重点研究中吸取教训此外我们认为俄们6钿侨设计可以作为磁人大量时期总之前确
44、定有希阖弼展研究领域的指南。另一tP蹄JS索可能是我们受试者的年蹄海验水.如果我fi珈试系缄全专家碘留学叼洞的反应惭我11通与部辍不足劲瞰币溺的隔西迪啮FT来自各个领域的用户和研究人员甚至来自夕脚系箍全的用户和研究人员因此珊邺僦挑了它们在调查加密货币安全性时的表现5经验为了演示ABC在应用于复杂的现实系统时如何发挥作用我们开发了用例在其中为三种加密货币(比特币63Filecoin36和我们的系统CaCheCaSh沟建了威胁模型。此外我(号6告了一非加密货币用例该用例对名为SPIFFE的云原生安全技术这是我fi所位作者参与的项目。这些案例中的每一个都代表系统设计生命周期的不同阶段匕潟币和SPIF
45、FE是成熟的系统Filecoin正在开发中且啕黜而CaCheCaSh仍处于早期开发阶段。对比特币和FiIeCoin的分析在风险管理/缓解阶段之前停止。gCacheCash和SPIFFE分析涉及风险缓解步骤我i弼后将对此进行描述5.1比特币分析(步骤1-3)截至2019年6月下旬,比特币是迄今为止最有价值的加密货币,其资本市场份额约为2450亿美元165三2所示比特币威胁模型的共谋矩阵和威胁案伤期显少于其他系统11这是因为它颗供货币兑换服务,11比特币的完整威胁模型可在线获取32表2:礴模物俄方面比特币FilecoinCacheV:ashSPIFFE/尖塔涵盖ABC步骤步骡13步骡13步覆14步骤1完成时间(小时)1047未追踪未追踪共谋矩阵数H51494成防案例总数105M2E1860年提燎出的威胁场景10352265这减少了资产数空。此外它只涉及两种类型参与者、
