O que é um modelo de ameaça?

O que é um modelo de ameaça?

Todos os dias parecem surgir notícias de uma nova ameaça à segurança da sua tecnologia da informação: hackers, ataques de negação de serviço, ransomware, divulgação não autorizada de informações. É difícil saber por onde começar para abordar todos eles. É igualmente difícil saber quando parar. A modelagem de ameaças pode ajudar.

Um modelo de ameaça identifica riscos e os prioriza. Embora frequentemente associado à tecnologia da informação, um modelo de ameaça pode ser usado para identificar muitos tipos de risco. Por exemplo, um modelo de ameaça pode identificar furacões como um risco para proprietários de imóveis no sudeste dos Estados Unidos. Depois que os riscos são identificados, o modelo de ameaças ajuda a priorizá-los e a ponderar os custos e benefícios de abordá-los. Por exemplo, um modelo de ameaça que avalie janelas melhores em comparação com proteções antitempestades pode priorizar as proteções como a melhor resposta.

Quando se trata de tecnologia da informação, um modelo de ameaça é usado para criar perfis de prováveis invasores e hackers, além de identificar tanto as vias de ataque mais prováveis quanto o hardware e software com maior probabilidade de serem alvos. Os defensores podem então determinar os controles de segurança necessários para proteger o sistema dessas ameaças e decidir quais implementar com base nos custos e benefícios de cada um.

Objetivos da modelagem de ameaças

A modelagem de ameaças avalia ameaças e riscos a sistemas de informação, identifica a probabilidade de êxito de cada ameaça e avalia a capacidade da organização de responder a cada ameaça identificada.

1. Identificação de requisitos de segurança e vulnerabilidades

O processo de modelagem de ameaças requer a identificação de requisitos de segurança e vulnerabilidades de segurança. Vulnerabilidades de segurança são geralmente identificadas com mais eficácia por um especialista externo. Usar um especialista externo pode ser a maneira mais econômica de avaliar os controles de segurança.

Comece diagramando como os dados se movem pelo sistema, onde eles entram no sistema, como são acessados e quem pode acessá-los. Liste todos os softwares e outras aplicações no sistema e identifique a arquitetura do sistema.

Em seguida, use a modelagem de ameaças para identificar possíveis ameaças ao sistema. Por exemplo, existem terminais em espaços públicos que não são protegidos por senha? O servidor está em uma sala destrancada? Dados confidenciais foram criptografados?

2. Quantificação da gravidade das ameaças e das vulnerabilidades

O sistema de TI médio pode ser vulnerável a milhares, até milhões, de possíveis ameaças. Nenhuma organização pode se dar ao luxo de tratar todas as ameaças da mesma forma ou ignorá-las. Nenhuma organização pode atribuir o mesmo nível de importância a todas as ameaças. Como os orçamentos e o tempo são limitados, ameaças mais graves devem ter prioridade sobre ameaças menores.

O Sistema de pontuação de vulnerabilidades comuns (CVSS) classifica possíveis ameaças de um a 10 de acordo com a gravidade inerente e se a vulnerabilidade foi explorada desde que foi descoberta. Uma pontuação CVSS de 10 indica a ameaça mais grave. Uma pontuação CVSS de um indica a ameaça menos grave. O sistema de pontuação de ameaças CVSS permite que profissionais de segurança acessem uma fonte confiável de inteligência de ameaças desenvolvida por outros.

Uma pontuação CVSS bruta não considera o contexto de uma vulnerabilidade ou seu lugar no sistema de tecnologia da informação. Algumas vulnerabilidades serão mais críticas para algumas organizações do que para outras.

3. Priorizando métodos de remediação

Após definir o nível de gravidade que cada vulnerabilidade representa para sua organização, você pode decidir quais devem ter a prioridade de correção, um processo chamado análise de ameaças. A análise de ameaças identifica os pontos fracos do sistema e a possível ameaça representada pelo ataque usando cada um deles. A vulnerabilidade mais crítica pode precisar de atenção imediata para adicionar controles de segurança. As vulnerabilidades menos críticas podem não precisar de atenção alguma porque há pouca chance de serem exploradas ou representam pouco perigo se forem exploradas.

Como você deve abordar a modelagem de ameaças?

Existem várias abordagens para modelagem de ameaças. A escolha da metodologia correta começa com uma compreensão mais profunda do processo de modelagem de ameaças.

Compreendendo o processo de modelagem de ameaças

A modelagem de ameaças identifica os tipos de ameaças a uma aplicação de software ou sistema de computador. É melhor fazer a modelagem de ameaças durante o design do software ou sistema, para que as vulnerabilidades possam ser abordadas antes que o sistema entre em operação. Mudanças em software, infraestrutura e ambiente de ameaças também são oportunidades importantes para revisitar modelos de ameaças.

A modelagem de ameaças geralmente segue as cinco etapas a seguir:

1. Definir objetivos para a análise.
2. Criar um modelo visual do sistema a ser analisado.
3. Usar o modelo visual para identificar as ameaças ao sistema.
4. Tomar medidas para mitigar as ameaças.
5. Validar se as ameaças foram mitigadas.

Identificando as diferenças nas metodologias de modelagem de ameaças

Para identificar ameaças, a modelagem de ameaças se concentra no possível ataque, nos ativos do sistema ou no próprio software. A modelagem de ameaças centrada em ativos foca nos ativos do sistema e no impacto comercial da perda de cada ativo alvo. Por exemplo, a modelagem de ameaças centrada nos ativos pode perguntar qual seria o impacto nos negócios se um hacker negasse acesso ao sistema de gerenciamento de pedidos on-line. A resposta pode ser que há um impacto grave. Por outro lado, um vírus que infecta um programa de software usado apenas para rastrear ativos fixos pode ter pouco impacto nos negócios porque os ativos fixos também são rastreados no papel.

A modelagem de ameaças centrada em ataques identifica as ameaças contra o sistema com maior chance de sucesso. Por exemplo, a modelagem de ameaças voltada aos ataques questiona qual a probabilidade de um hacker conseguir bloquear com sucesso o sistema de gerenciamento de pedidos on-line em um ataque de negação de serviço. A resposta pode ser que é muito provável, pois o sistema tem uma vulnerabilidade inerente e bem conhecida.

Por fim, a modelagem de ameaças centrada em sistemas se concentra em entender o sistema que está sendo modelado antes de avaliar as ameaças contra ele. Por exemplo, a modelagem de ameaças centrada em sistemas começa perguntando onde os dados no sistema de pedidos on-line residem e como e onde o sistema é acessado.

Escolhendo as melhores metodologias de modelagem de ameaças

Qual metodologia de modelagem de ameaças é melhor para seu sistema? A metodologia correta para seu sistema depende dos tipos de ameaças que você está tentando modelar. Você deve considerar o seguinte:

1. Os tipos de ameaças e riscos comumente enfrentados por outras empresas do setor
2. O tamanho e a competência da sua equipe
3. Os recursos disponíveis, aspectos financeiros e outros
4. Sua tolerância ao risco

Exemplos de frameworks de modelagem de ameaças

Aqui estão alguns exemplos das metodologias de modelagem de ameaças mais populares:

Árvores de ataques

As árvores de ataques são baseadas em diagramas de árvores de decisão. A “raiz” ou base da árvore representa o objetivo do invasor. Os galhos e “folhas” da árvore de ataques representam os caminhos para atingir esse objetivo. As árvores de ataques demonstram que os invasores geralmente têm várias maneiras de atingir seu alvo.

STRIDE

O modeloSTRIDE foi desenvolvido pela Microsoft para identificar sistematicamente uma ampla gama de possíveis ameaças aos seus produtos. STRIDE é uma sigla (em inglês) para seis possíveis ameaças:

• Falsificação de identidade: um invasor pode obter acesso ao sistema fingindo ser um usuário autorizado do sistema.
• Adulteração de dados: um invasor pode modificar dados no sistema sem autorização.
• Repúdio: o invasor não assume nenhuma responsabilidade por uma ação, que pode ser verdadeira ou falsa.
• Divulgação de informações: o invasor fornece informações a alguém não autorizado a acessá-las.
• Negação de serviço: o invasor esgota o recurso necessário para fornecer serviços a usuários legítimos.
• Elevação de privilégio: o invasor faz algo (como acessar dados confidenciais) que não está autorizado a fazer.

PASTA

O modelo de Processo para simulação de ataques e análise de ameaças (PASTA), vê a aplicação como um invasor o faria. O modelo PASTA segue sete passos:

1. Definir os objetivos de negócios, os requisitos de segurança do sistema e o impacto nos negócios de várias ameaças
2. Definir o escopo técnico do ambiente e as dependências entre a infraestrutura e o software
3. Diagramar o fluxo de dados na aplicação
4. Executar simulações de ataque no sistema
5. Mapear ameaças às vulnerabilidades existentes
6. Desenvolver árvores de ataques
7. Analisar os riscos resultantes e desenvolver medidas rentáveis para combatê-los

Trike

O Trike usa modelos de ameaças para gerenciar riscos, em vez de eliminá-los, definindo níveis aceitáveis de risco para vários tipos de ativos. Para cada ativo e cada usuário do sistema, o Trike indica o nível de acesso do usuário a cada ativo (criar, ler, atualizar e excluir) e se o usuário tem permissões para executar cada ação com base na frequência (sempre, às vezes ou nunca).

VAST

Ameaça visual, ágil e simples (VAST) é um processo automatizado de modelagem de ameaças aplicado a ameaças de aplicações ou ameaças operacionais. Para modelar ameaças a aplicações, o VAST faz um diagrama da ameaça à arquitetura do sistema. Para modelar ameaças operacionais, o VAST diagrama a ameaça da perspectiva do invasor.

CVSS

O Sistema de pontuação de vulnerabilidades comuns (CVSS) atribui uma pontuação de gravidade para cada vulnerabilidade. Isso combina a vulnerabilidade intrínseca, a evolução da vulnerabilidade ao longo do tempo e o nível de segurança da organização.