CMU
MBSE
SEI
威胁建模
安全左移
架构分析
网络安全
PAACT-BUS — 主动式网络安全威胁架构分析
概述
卡内基梅隆大学软件工程研究所(CMU SEI)Alexander Vesey(软件工程师)和Natasha Shevchenko(高级工程师)在MBSE in Practice 2025上的演讲(2025年8月19日)。提出PAACT-BUS方法 (Proactive Architectural Analysis of Cybersecurity Threats):在架构设计阶段主动识别和分析网络安全威胁,将安全分析嵌入MBSE流程,实现"安全左移"。DoD合同FA8702-15-D-0002资助。
议程(五部分)
#
主题
核心问题
1
什么是MBSE?
标准化建模语言+数字建模环境+修改的SE过程+目的性模型
2
能用白板狩猎威胁吗?
传统威胁建模的局限性
3
全生命周期安全分析
从概念到退役的安全分析嵌入
4
用MBSE进行威胁建模
模型驱动的威胁识别和分析
5
PAACT-BUS逐步指南
五步主动架构分析方法
PAACT-BUS方法论
五步流程
P lan(规划):定义分析范围和目标
A nalyze(分析):在架构模型中识别威胁面
A ssess(评估):评估威胁的影响和可能性
C apture(捕获):在模型中记录威胁和缓解措施
T rack(跟踪):全生命周期跟踪安全态势
核心创新
主动而非被动 :在架构设计阶段识别威胁——不是等系统建成后才做渗透测试
模型驱动 :使用SysML模型作为威胁分析的基础——威胁、资产、攻击面直接在架构模型中建模
全生命周期 :安全分析贯穿概念→开发→生产→运营→退役
与传统威胁建模的对比
维度
传统方法(STRIDE等)
PAACT-BUS
时机
系统设计完成后的评审
架构设计阶段持续分析
基础
白板/文档驱动的威胁列表
SysML模型驱动的攻击面分析
可追溯性
威胁与架构脱节
威胁直接链接到架构元素
自动化
手动评审
模型驱动的半自动分析
笔记
PAACT-BUS = Proactive Architectural Analysis of Cybersecurity Threats
方法的"BUS"部分尚未在材料中完全展开——可能是后续的详细指南
此方法与NIST SP 800-160(网络韧性系统工程)形成互补——NIST提供"韧性目标",PAACT-BUS提供"主动分析方法"
对MOSA的启示:模块化架构天然支持安全隔离——PAACT-BUS可在架构设计阶段验证隔离边界