PASTA 攻击模拟与威胁分析流程
Process for Attack Simulation and Threat Analysis —— 跨多行业流行的威胁建模框架。Tony UcedaVélez 和 Marco Morana 提出。
7 个阶段
| # | 阶段 | 干什么 |
|---|
| 1 | Define Objectives | 业务目标、合规要求、风险偏好 |
| 2 | Define Technical Scope | 系统边界、技术栈、数据流 |
| 3 | Application Decomposition | 拆 asset、信任边界、用例 |
| 4 | Threat Analysis | 谁会攻击、为什么攻击(threat actor 画像) |
| 5 | Vulnerability Analysis | 找现有 弱点 |
| 6 | Attack Modeling | 把威胁和漏洞串成攻击路径(attack tree) |
| 7 | Risk & Impact Analysis | 算业务影响、定优先级、给对策 |
和其他框架的区别
| 框架 | 重点 |
|---|
| STRIDE | 按威胁类型分(Spoofing / Tampering / Repudiation / Info Disclosure / DoS / EoP) |
| PASTA | 风险驱动,业务视角,7 步流程 |
| DREAD | 风险打分(Damage / Reproducibility / Exploitability / Affected / Discoverability) |
| VAST | 大规模敏捷团队适用 |
适合谁
- 大型企业、金融、医疗
- 业务/合规驱动的安全团队
- 需要把”威胁建模结果”卖给非技术高层时——PASTA 的业务视角好沟通
缺点
- 重 —— 7 阶段做完一轮挺花时间
- 对小团队 / 初创不划算 —— 用 STRIDE 更轻
