Índice:
- Identificando ameaças
- Determinação e diagramação de ataques potenciais
- Realizando análise de redução
- Tecnologias e processos para remediar ameaças
Vídeo: Riscos, Ameaças e Vulnerabilidades em Segurança da Informação 2024
Modelagem de ameaças é um tipo de análise de risco usada para identificar defeitos de segurança na fase de design de um sistema de informações. A modelagem de ameaças é mais freqüentemente aplicada a aplicativos de software, mas pode ser usada para sistemas operacionais e dispositivos com igual eficácia.
O modelo de ameaça é tipicamente centrado em ataques; O modelo de ameaças mais frequentemente é usado para identificar vulnerabilidades que podem ser exploradas por um invasor em aplicativos de software.
O modelo de ameaças é mais eficaz quando realizado na fase de design de um sistema ou aplicativo de informação. Quando as ameaças e a mitigação são identificadas na fase de projeto, muitos esforços são salvos através da prevenção de alterações de projeto e correções em um sistema existente.
Embora existam diferentes abordagens para modelagem de ameaças, as etapas típicas são
- Identificando ameaças
- Determinando e diagramando ataques potenciais
- Realizando análise de redução
- Remediação de ameaças
Identificando ameaças
A identificação da ameaça é o primeiro passo que é realizado no modelo de ameaça. Ameaças são aquelas ações que um invasor pode executar com sucesso se houver vulnerabilidades correspondentes presentes no aplicativo ou no sistema.
Para aplicações de software, existem dois mnemônicos usados como auxílio de memória durante o modelamento de ameaças. Eles são
- STRIDE, uma lista de ameaças básicas (desenvolvido pela Microsoft):
- Spoofing of user identity
- Tampering
- Repudiation
- Divulgação de informações
- Negação de serviço
- Elevação de privilégio
- DREAD, uma técnica mais antiga usada para avaliar ameaças:
- Dano
- Reprodutibilidade
- Exploitabilidade
- Usuários afetados
- Descoberta
Embora esses próprios mnemônicos não contêm ameaças, ajudam o indivíduo a realizar modelagem de ameaças, lembrando o indivíduo de categorias de ameaças básicas (STRIDE) e sua análise (DREAD).
Os apêndices D e E no NIST SP800-30, Guia para a realização de avaliações de risco, são uma boa fonte de propósito geral para ameaças.
Determinação e diagramação de ataques potenciais
Depois que as ameaças foram identificadas, a modelagem de ameaças continua através da criação de diagramas que ilustram ataques em um aplicativo ou sistema. Uma árvore de ataque pode ser desenvolvida. Descreve as etapas necessárias para atacar um sistema. A figura a seguir ilustra uma árvore de ataque de um aplicativo de banco móvel.
Uma árvore de ataque ilustra as etapas usadas para atacar um sistema alvo.
Realizando análise de redução
Ao realizar uma análise de ameaça em um aplicativo complexo ou em um sistema, é provável que haja muitos elementos similares que representam duplicações de tecnologia. Análise de redução é um passo opcional na modelagem de ameaças para evitar a duplicação de esforços. Não faz sentido passar muito tempo analisando componentes diferentes em um ambiente se todos eles estiverem usando a mesma tecnologia e configuração.
Aqui estão exemplos típicos:
- Um aplicativo contém vários campos de formulário (que são derivados do mesmo código-fonte) que solicitam o número da conta bancária. Como todos os módulos de entrada de campo usam o mesmo código, a análise detalhada só precisa ser feita uma vez.
- Um aplicativo envia diversos tipos de mensagens ao longo da mesma conexão TLS. Como o mesmo certificado e conexão estão sendo usados, a análise detalhada da conexão TLS só precisa ser feita uma vez.
Tecnologias e processos para remediar ameaças
Assim como na análise de risco de rotina, o próximo passo na análise de ameaças é a enumeração de medidas potenciais para mitigar a ameaça identificada. Como a natureza das ameaças varia amplamente, a correção pode consistir em uma ou mais das seguintes ações para cada risco:
- Alterar o código-fonte (por exemplo, adicionar funções para examinar atentamente os campos de entrada e filtrar os ataques de injeção).
- Alterar configuração (por exemplo, mudar para um algoritmo de criptografia mais seguro ou expirar senhas com mais freqüência).
- Alterar processo comercial (por exemplo, adicionar ou alterar etapas em um processo ou procedimento para gravar ou examinar dados-chave).
- Mudar pessoal (por exemplo, fornecer treinamento, mover a responsabilidade por uma tarefa para outra pessoa)
Lembre-se de que as quatro opções de tratamento de risco são mitigação, transferência, evasão e aceitação. No caso de modelagem de ameaça, algumas ameaças podem ser aceitas como são.
