ISADM：一种集成STRIDE、ATT&CK和D3FEND的威胁建模新方法及其在金融科技安全中的应用

《IEEE Access》：ISADM: An Integrated STRIDE, ATT&CK, and D3FEND Model for Threat Modeling Against Real-world Adversaries

【字体： 大 中 小 】 时间：2025年12月24日 来源：IEEE Access 3.6

　　

随着金融科技(FinTech)的迅猛发展，其日益增长的互联性、快速创新以及对全球数字基础设施的依赖带来了显著的网络安全挑战。传统的网络安全框架往往难以识别和优先处理特定领域的漏洞，或适应不断演变的对手策略，特别是在金融科技等高针对性领域。金融科技系统面临着复杂的攻击面和领域特定威胁，而现有的方法如STRIDE框架主要关注内部系统组件，对抗外部对手的适用性有限；而MITRE ATT&CK框架虽然擅长识别外部威胁，但在内部系统漏洞及其与对抗策略的相互作用方面提供指导有限。这种局限性在金融科技等领域尤为突出，因为对手经常利用不断演变的策略和技术。

为了应对金融科技安全领域的这些挑战，研究人员在《IEEE Access》上发表了一项重要研究，提出了一种名为ISADM(集成STRIDE-ATT&CK-D3FEND模型)的新型混合威胁建模方法。这项研究旨在弥合资产中心化和对手中心化分析之间的差距，为金融科技系统提供更强大的防御能力。

ISADM框架的核心创新在于将Microsoft开发的STRIDE框架的系统中心化威胁分类与MITRE ATT&CK的真实对抗行为目录以及MITRE D3FEND的结构化对策知识相结合。该方法采用基于频率的评分机制来量化对手战术、技术和程序(TTPs)的普遍性，从而实现主动的、分数驱动的风险评估和优先级排序框架。

研究人员开发了一个包含九个步骤的方法论流程：从定义范围和安全目标开始，通过STRIDE进行内部建模创建数据流图(DFD)并识别威胁；然后转向MITRE ATT&CK进行外部建模，确定特定于金融领域的对手TTPs；接着对TTPs进行评估和评分，确定风险阈值；将ATT&CK战术映射到STRIDE输出；进行子系统映射；最后将已识别的威胁映射到D3FEND防御措施并设计缓解策略。

该方法的关键技术特点包括使用STRIDE TMT 7进行威胁建模，利用MITRE攻击导航器识别和可视化TTPs，以及通过D3FEND知识图将攻击者技术与防御对策相连接。研究还引入了频率评分机制，将MITRE ATT&CK中观察到的技术频率作为可能性信号，并与资产特定影响和专家验证相结合。

为了验证ISADM的实用性，研究人员进行了两个详细的案例研究分析：2016年孟加拉国银行SWIFT盗窃案和2017年Equifax数据泄露事件。这些案例研究表明ISADM如何能够识别、优先排序并将攻击映射到具体的防御行动。

案例研究分析

孟加拉国银行SWIFT盗窃案(2016年)分析

通过对孟加拉国银行事件的应用分析，ISADM框架成功识别出了该次攻击的关键威胁路径。研究发现，邮件服务器子系统的STRIDE分析显示欺骗(Spoofing)威胁特别突出，对应MITRE ATT&CK的初始访问战术中的"鱼叉式网络钓鱼附件"(T1566.001)技术，频率评分高达15分。同时，SWIFT联盟访问(SAA)子系统的STRIDE分析显示篡改(Tampering)和权限提升(Elevation of Privilege)威胁显著，对应ATT&CK的执行战术中的"恶意文件"(T1204.002)技术，频率评分达16分。

研究进一步展示了如何通过D3FEND框架为这些高优先级威胁设计具体对策。例如，针对鱼叉式网络钓鱼，D3FEND建议采用附件沙盒分析、电子邮件过滤和内容隔离等多层防御；针对恶意SWIFT软件，推荐文件完整性监控、应用程序白名单和执行隔离等控制措施。

Equifax数据泄露(2017年)分析

对Equifax案例的分析同样证明了ISADM的有效性。研究发现该事件中攻击者利用了Apache Struts漏洞(T1190)获得初始访问，然后部署Web Shell(T1505.003)维持持久性，最后通过数据压缩(T1002)和加密渗出(T1041/T1048)窃取数据。ISADM框架成功将这些技术映射到相应的STRIDE类别，并提供了基于频率的优先级排序。

研究结果与发现

威胁覆盖范围的扩展

研究发现ISADM框架相比单一方法显著扩展了威胁覆盖范围。传统的STRIDE-only方法主要识别资产相关威胁但缺乏优先级排序，而ATT&CK-only方法提供对手行为信息但缺乏系统上下文。ISADM通过将两者结合，不仅识别了系统漏洞，还将这些漏洞与具体的对手技术相关联，提供了更全面的威胁视角。

优先级排序的优化

通过频率评分机制，ISADM实现了更科学的威胁优先级排序。研究表明，基于真实世界对手行为的频率评分能够更准确地反映威胁的实际风险水平。在案例分析中，得分最高的技术(如鱼叉式网络钓鱼和恶意文件执行)确实是对手最常使用且造成最大破坏的技术。

行动指导性的增强

通过集成D3FEND框架，ISADM为每个识别的威胁提供了具体的防御对策。这种从威胁识别到缓解措施的直接映射大大增强了框架的行动指导性，帮助组织快速将分析结果转化为具体的防御行动。

研究结论与意义

ISADM研究的主要结论是，通过集成STRIDE、MITRE ATT&CK和D3FEND框架，组织能够获得更全面、更具操作性的威胁建模能力。这种混合方法不仅提高了威胁识别的覆盖率，还通过频率驱动的优先级排序优化了资源分配，最终通过D3FEND映射提供了具体的防御指导。

该研究的重要意义在于为金融科技行业提供了一个系统化的方法来应对日益复杂的网络安全威胁。与传统的合规驱动方法不同，ISADM强调基于真实威胁情报的主动防御，使组织能够更好地预测和缓解针对其最关键资产的攻击。

研究的创新点主要体现在三个方面：首先，提出了一个操作化的整体混合方法，将内部系统分析与对手中心化洞察相结合；其次，展示了如何将MITRE ATT&CK的真实世界TTPs操作化到结构化威胁建模过程中；最后，通过真实金融科技事件的应用，证明了ISADM如何能够识别、优先排序并将攻击映射到具体的防御行动中。

尽管ISADM框架具有显著优势，研究也指出了其局限性，包括对基础威胁情报完整性和时效性的依赖，以及框架复杂性可能对资源有限组织带来的采用挑战。未来的研究方向包括开发简化版框架、创建针对性培训计划，以及探索ISADM在其他领域的应用。

总体而言，这项研究为金融科技网络安全领域做出了重要贡献，提供了一种能够有效应对现代网络威胁的综合性威胁建模方法。随着金融行业数字化程度的不断提高，ISADM这类基于威胁情报的主动防御方法将变得越来越重要，为保护关键金融基础设施提供了有价值的解决方案。