OWASP CheatSheet系列：威胁建模中STRIDE与ATT&CK的协同应用

在网络安全领域，威胁建模是识别和缓解潜在安全风险的关键流程。OWASP CheatSheet系列作为权威的安全实践指南，其威胁建模章节中提到了STRIDE模型与MITRE ATT&CK框架的协同应用。然而，原文档中引用的参考链接已失效，本文将从技术角度重新梳理两者的结合逻辑，并探讨其实际价值。

STRIDE模型的核心作用

STRIDE是由微软提出的威胁分类模型，其名称源自六类威胁的缩写：欺骗（Spoofing）、篡改（Tampering）、抵赖（Repudiation）、信息泄露（Information Disclosure）、拒绝服务（Denial of Service）和权限提升（Elevation of Privilege）。该模型的特点在于：

1. 架构视角：从系统设计层面识别威胁
2. 开发阶段适用性：适合在SDLC早期阶段实施
3. 抽象层级较高：不涉及具体攻击技术细节

MITRE ATT&CK的战术价值

MITRE ATT&CK框架则从攻击者视角出发，详细描述了攻击生命周期中的战术（Tactics）、技术（Techniques）和过程（Procedures）。其核心优势包括：

• 基于真实攻击行为建模
• 覆盖攻击全链条的细粒度技术描述
• 可直接映射到检测和响应方案

协同应用方法论

两者的结合形成了"战略-战术"的完整闭环：

1. STRIDE定位风险域 在架构设计阶段，通过STRIDE识别系统可能面临的威胁类型。例如：

   • 身份验证模块→欺骗风险
   • 数据存储模块→篡改风险

2. ATT&CK细化应对措施 针对STRIDE识别的每个威胁类别，使用ATT&CK选择具体防御方案：

   • 欺骗威胁→对应ATT&CK的初始访问战术（如T1078有效账户）
   • 权限提升→对应权限提升战术（如T1055进程注入）

3. 矩阵式防御构建 建立STRIDE威胁类型与ATT&CK技术的映射矩阵，例如：

   STRIDE威胁	相关ATT&CK战术	典型防御技术
   信息泄露	数据渗出(T1029)	网络流量监控、DLP
   拒绝服务	资源劫持(T1499)	速率限制、弹性伸缩

实践建议

1. 分层实施：在架构评审阶段使用STRIDE，在安全运营阶段应用ATT&CK
2. 工具链整合：将STRIDE输出作为威胁建模工具的输入，自动关联ATT&CK技术
3. 持续演进：随着ATT&CK矩阵的更新迭代防御措施

通过这种分层协作模式，安全团队既能把握系统级的风险全景，又能落地具体的检测防御手段，实现从威胁建模到实战防御的无缝衔接。OWASP CheatSheet系列将持续完善这类最佳实践的文档化工作，为行业提供可靠参考。