跳转至

PAACT-BUS — 主动式网络安全威胁架构分析

概述

卡内基梅隆大学软件工程研究所(CMU SEI)Alexander Vesey(软件工程师)和Natasha Shevchenko(高级工程师)在MBSE in Practice 2025上的演讲(2025年8月19日)。提出PAACT-BUS方法(Proactive Architectural Analysis of Cybersecurity Threats):在架构设计阶段主动识别和分析网络安全威胁,将安全分析嵌入MBSE流程,实现"安全左移"。DoD合同FA8702-15-D-0002资助。

议程(五部分)

# 主题 核心问题
1 什么是MBSE? 标准化建模语言+数字建模环境+修改的SE过程+目的性模型
2 能用白板狩猎威胁吗? 传统威胁建模的局限性
3 全生命周期安全分析 从概念到退役的安全分析嵌入
4 用MBSE进行威胁建模 模型驱动的威胁识别和分析
5 PAACT-BUS逐步指南 五步主动架构分析方法

PAACT-BUS方法论

五步流程

  1. Plan(规划):定义分析范围和目标
  2. Analyze(分析):在架构模型中识别威胁面
  3. Assess(评估):评估威胁的影响和可能性
  4. Capture(捕获):在模型中记录威胁和缓解措施
  5. Track(跟踪):全生命周期跟踪安全态势

核心创新

  • 主动而非被动:在架构设计阶段识别威胁——不是等系统建成后才做渗透测试
  • 模型驱动:使用SysML模型作为威胁分析的基础——威胁、资产、攻击面直接在架构模型中建模
  • 全生命周期:安全分析贯穿概念→开发→生产→运营→退役

与传统威胁建模的对比

维度 传统方法(STRIDE等) PAACT-BUS
时机 系统设计完成后的评审 架构设计阶段持续分析
基础 白板/文档驱动的威胁列表 SysML模型驱动的攻击面分析
可追溯性 威胁与架构脱节 威胁直接链接到架构元素
自动化 手动评审 模型驱动的半自动分析

笔记

  • PAACT-BUS = Proactive Architectural Analysis of Cybersecurity Threats
  • 方法的"BUS"部分尚未在材料中完全展开——可能是后续的详细指南
  • 此方法与NIST SP 800-160(网络韧性系统工程)形成互补——NIST提供"韧性目标",PAACT-BUS提供"主动分析方法"
  • 对MOSA的启示:模块化架构天然支持安全隔离——PAACT-BUS可在架构设计阶段验证隔离边界