前言

网络安全的本质是攻防双方的对抗与博弈。然而，由于多种攻防之间的不对称性因素存在，使得攻击者总能在对抗过程中抢占先机。为了更好地了解潜在的威胁和缺陷，实现主动式防御，企业需要重新考虑他们的网络防护方法，而威胁建模（Threat modeling）正是网络安全武器库中关键防御武器。

一、威胁建模的必要性

威胁建模是指识别并评估如何管理应用系统中安全弱点的过程，可以帮助企业更快速地发现信息化系统应用过程中的安全隐患，更清楚地了解安全建设需求，从而更有效地建立安全防御体系。

顾名思义，威胁建模会产生一个或多个模型。OWASP将威胁模型定义为：“影响应用程序安全性的所有信息的结构化表示。从本质上讲，它是从风险防御的视角来评估应用程序及其环境的安全性。”通过威胁建模的实践，可以为组织的而网络安全决策提供更全面的信息，并帮助构建和支持网络威胁情报（CTI）。

组织可以将威胁建模广泛地应用于软件应用程序、网络系统、分布式系统、物联网设备和数字化业务流程。概括来说，使用威胁建模可以给企业组织如下好处：

ㆍ明确组织的安全需求。传统的最佳实践和顶级威胁列表只是网络安全工作的指导方针，它们不能考虑到组织的具体情况。而威胁建模可以告诉组织应该优先考虑什么以及在哪里投入资源。

ㆍ更快的反馈，更低的成本。遵循“安全左移”的防护理念，威胁建模可以在应用系统开发过程的早期发现问题，甚至在漏洞萌芽之前消除它们，从而大大降低修复成本。

ㆍ更优质的产品+增强的信心。许多数据泄露事件凸显了安全团队对安全的忽视。威胁建模使您的缺陷直观可见，因此您可以制定创新计划并实际量化威胁。

正如安全技术专家Adam Shostack所认为的：“威胁建模是实现网络安全集中化防御的关键。如果没有威胁建模，企业的网络安全工作就是无休止的打地鼠游戏。”

二、威胁建模的过程

从广义上讲，威胁建模涉及从日常的安全工作中退一步，以了解企业的系统、评估网络和数字资源、识别威胁环境中的漏洞并优先考虑涵盖保护、响应、补救和恢复的计划。威胁建模团队的核心成员主要由安全专业人员和架构师组成。在更广泛的情况下，组织可以将各种利益相关者聚集在一起，包括应用程序所有者、技术支持人员、管理员等。

这些团队