威胁模型: 你到底想做什么

事实上在我看来，威胁模型的提出就是为了平衡，因为很多时候大家是身不由己的，很难做到所谓绝对的安全隐私防范。威胁模型就是针对你个人安全和影视最具威胁的清单，我们应该只关注那些最有可能存在你身边的威胁。

创建威胁模型

威胁模型通常通过以下五个问题的答案得出:

1. 我想保护什么?
2. 我想保护它免受谁的侵害?
3. 我需要保护它的可能性有多大?
4. 如果我失败了，后果会有多严重?
5. 我愿意经历多少麻烦去避免出现潜在的后果?

1. 我想保护什么

答案自然是想要保护的东西（这句话疑似废话 你需要知道你想保护的资产到底是什么，邮件、个人位置、通信信息还是什么。

2. 我想保护它免受谁的侵害

你需要确定你的对手到底是谁，所谓是知己知彼，百战不殆。这里的对手可能是你认识的人，也可能是互联网上的"黑客"，或者是你的竞争对手之类。

3. 我需要保护它的可能性有多大

这里指的是你所保护的资产发生某些威胁的可能性，因为并不是所有威胁都很有可能发生（比如说房屋倒塌）。

4. 如果我失败了，后果会有多严重

你需要知道如果你想保护的资产最终被攻击者窃取，那么到底会发生什么。因为攻击者窃取到了数据后的行为并不完全一致，他可能简单的公开，或者敲诈勒索，或者是售卖……这些都有可能。

5. 我愿意经历多少麻烦去避免出现潜在的后果

你为了保护你的资产到底能做到哪一步？需要认识到的是，几乎所有的防范手段都需要牺牲一些东西，所以这里指出的就是你到底能为了这份保护牺牲多少。

常见威胁

这里列出常见的威胁，用于帮助你回答上述问题

• 匿名威胁
  • 指威胁到你网络活动中对个人真实身份的保护
• 针对性攻击
  • 有"黑客"试图访问你的私密数据或设备
• 供应链攻击
  • 即不是你直接接触的硬件或软件有问题，而是这些东西的直接或间接依赖有问题
• 被动攻击
  • 针对所有用户的病毒等恶意软件的攻击
• 服务提供商的监控
  • 经典的例子就是一些网络流量中转时经过的节点，免受它们的监控
• 大规模监控
  • 这里指的是部分组织会进行的全体监控行为

匿名威胁

虽然匿名威胁经常被认为和隐私保护可以划成等号，但二者并不完全一致。

隐私指的是你不希望对方在使用或共享你的数据时肆无忌惮，而匿名要求你的网络行动要和真实身份完全分离。

很多人其实未必需要考虑到这一点，除非他是什么政治活动家、记者之类

被动攻击

这里就不得不提到经典的论调了，即安全和隐私并不是一回事。

首先，我们应该在足够安全的情况下再考虑隐私的问题 （废话，要是不设防那还考虑什么隐私，但是悲哀的是，目前我们公认的安全做的比较好的一些服务提供商都是一些大型商业公司，面对它们你很难说隐私得到了尊重。

所以我们需要在安全和隐私中做取舍。

一般来说，我们很难说自己正在使用的操作系统是绝对安全的，我们无法保证以后不会受到恶意软件的攻击，所以只能尽量采用一些安全手段避免。

服务提供商的监控

这里不单单说的是互联网服务提供商（ISP），而是各种服务提供商。

我们目前使用的各种软件提供了很多服务，一个经典的例子就是聊天，有关聊天软件的安全隐私讨论你能找到很多，并且有很多小众软件旨在提供一个尽可能保证安全和隐私的即时聊天服务。

但这种小众软件的悲哀是自己身边人不使用从而导致自己也很难一直使用。

大规模监控

大规模监控的经典案例就是由 Edward Snowden 曝光的全球监控计划

参考：

• Threat Modeling