SlideShare uma empresa Scribd logo

Estratégias para Modelagem de Ameaças

Spark Security
Spark Security

O documento apresenta estratégias para modelagem de ameaças, discutindo termos e definições, contextualizando o assunto com um exemplo de Star Wars, explicando para que serve a modelagem de ameaças e apresentando metodologias como focar nos ativos, atacantes, softwares ou usar a abordagem STRIDE. Também discute armadilhas comuns e responde dúvidas.

1 de 22
Baixar para ler offline
Estratégias para Modelagem de Ameaças Nichols Jasper – SafeGuard STI 17º Congresso de Tecnologia – FATEC-SP 06/10/2015
Agenda • Termos e Definições • Contextualizando: Star Wars • Algo do outro mundo? #sqn • Para que serve • Metodologia • Estratégias para modelagem de ameaças • Armadilhas/erros comuns no assunto • Dúvidas • Referências 2
Termos e Definições • Ativo* • Qualquer coisa tangível ou intangível que tem valor para uma organização ou indivíduo. • Vulnerabilidade* • Fragilidade de um ativo ou controle de segurança que pode ser explorada por uma ou mais ameaças. • Ameaça* • Causa potencial de um incidente indesejado que pode resultar em dano a um ativo (sistema, pessoas, reputação, etc) ou organização. • Agente ou Fonte de ameaça** • É autor que intencionalmente ou não explora uma vulnerabilidade e causa impacto, danos ou prejuízos, nos ativos do alvo explorado. • Por trás de toda ameaça intencional existe alguma motivação: política, ideológica, financeira, religiosa, emocional, etc. • * Fonte: ISO/IEC 27000, Information technology – Security techniques – Information security management systems - Overview and vocabulary • ** Fonte: NISTIR 7298 Revision 2 Glossary of Key Information Security Terms 3
Vídeo – Star Wars • O Retorno de Jedi (1983) 4
Termos e Definições • Contextualizando.... 5Crédito: Leandro Rocha http://pt.slideshare.net/leandroroc/modelagem-ameaas-para-pentester Ativo Ameaça Mitigação Vulnerabilidade (Exaustor Termal)
Termos e Definições • “Modelagem de Ameaças consiste no processo de usar abstrações para identificar e avaliar as ameaças de um dado sistema” - Adam Shostack • Parte do princípio que para se proteger adequadamente é necessário entender bem contra o que ou quem se deseja defender. • Isto é possível ao examinar os sistemas sob o ponto de vista de um adversário em potencial (ameaça), identificando os maiores riscos aos quais os sistemas estão expostos. • Como resultado se obtém uma lista das possíveis ameaças e opções para tratar o risco de sua materialização. 6
Algo do outro mundo? #sqn • O ser humano começou a modelar ameaças desde o momento em que começou a pensar em se proteger ou evitar que alguma coisa danosa acontecesse. • Estas atividades fazem parte do cotidiano das pessoas e são aplicadas: • No projeto de sistemas críticos, como projetos de aviões e de usinas nucleares. • Na seção de "precauções" nos manuais eletrodomésticos. • Nos avisos de capacidade máxima dos elevadores. • Nas bulas de remédios (efeitos colaterais). • Nas faixas amarelas das estações de metrô. 7
Algo do outro mundo? #sqn • Um museu que guarda artefatos, joias e peças de arte raras modela ameaças quando pensa em proteger tais itens de um agente de ameaça que pode causar algum dano a esses ativos, causando prejuízo à instituição. • Um professor que quer evitar que seus alunos colem também precisa modelar essa ameaça! • Enfim, é uma atividade que todos fazemos cotidianamente e nem notamos! 8
Exercício prático: Qual casa é mais fácil de invadir? • Agente de ameaça: Ladrão de casas perito em abrir fechaduras A B 9
10 Mas mesmo assim tem gente que consegue...
Modelagem de Ameaças: Para que serve? • Há várias razões para modelar ameaças: 1. Encontrar problemas de segurança: se pensamos em construir uma casa, algumas decisões irão impactar em sua segurança, como a presença de cercas e a disposição das janelas. 2. Ampliar a compreensão dos requisitos de segurança: ao passo que encontramos ameaças e fazemos uma avaliação podemos compreender melhor as proteções necessárias. 3. Projetar e entregar produtos melhores: ao considerarmos as ameaças, requisitos e necessidades de design é possível reduzir as chances de haver retrabalho e mudanças significativas no sistema durante seu desenvolvimento. 4. Achar erros que outras técnicas não acham: modelos do que pode dar errado ajudam a criticar as premissas do sistema e descobrir erros, omissões e problemas que as técnicas tradicionais não encontram. 11
Metodologia para modelar ameaças • O que você está construindo? Modelar o sistema • O que pode dar errado quando ele estiver construído? Identificar ameaças • O que você deveria fazer a respeito dessas coisas que podem dar errado? Mitigar os riscos associado às ameaças • Seu trabalho de análise foi feito com qualidade?Revisão 12
Estratégias – Focando nos Ativos • Envolver identificar três itens: • O que você quer proteger? • O cadastro de clientes. • Fórmula do principal produto da organização. • As joias da coroa. • O que um atacante quer? • Os usuários e senhas de acesso ao sistema de vendas. • Números de cartão de crédito. • Deixar o site da sua empresa fora do ar na Black Friday. • Possíveis barreiras entre eles • Recursos e controles de segurança que separam os itens acima. 13
Estratégias – Focando nos Atacantes • Envolve a compreensão dos potenciais atacantes e do seu conjunto de habilidades e motivações para explorar as vulnerabilidades. • Normalmente se usam personas, personagens fictícios criados para representar os diferentes tipos de ameaça a um dado sistema. • Pensando num sistema de controle de lançamento de ogivas nucleares: • O que um espião de uma nação inimiga poderia fazer? • E um administrador de sistema mal intencionado? • E um funcionário bem intencionado mas sem o treinamento adequado para operar o sistema? 14
Estratégias – Focando nos Softwares • Foca na decomposição dos sistemas de software através de diversos modelos que possibilitem enxergar as ameaças relevantes. • São usados os tradicionais diagramas DFD e UML para enxergar além do funcionamento “normal” do sistema. • É a estratégia usada e desenvolvida pela Microsoft, uma das precursoras da modelagem de ameaças em software. 15
Estratégias – Focando nos Softwares 16 Requisitos de Segurança Controles de Segurança Ameaças Ameaças ajudam a identificar requisitos de segurança Ameaças em potencial violam os requisitos de segurança de um sistema Requisitos de segurança são integrados aos sistemas através de controles de segurança e visam endereçar as ameaças aos sistemas.
Estratégias – Focando nos Softwares •DFD •UML 17
Estratégias – O que pode dar errado - STRIDE 18 Categoria Descrição Princípio de Segurança afetado Impacto Adverso no sistema S – Spoofing Ocorre quando um usuário consegue se passar por outro Autenticação Acesso Não Autorizado T – Tampering Envolve a modificação maliciosa de um ativo Integridade Modificação Da Informação R – Repudiation Está associada quando um principal executa uma ação e depois pode negá-la sem algo que o conteste Não Repúdio Acesso Não Autorizado I – Information Disclosure Relacionada a exposição de informações a indivíduos que não estão autorizados a ter o acesso Confidencialidade Divulgação de Informações D – Denial of Service Envolve a degradação ou interrupção de um serviço ou ativo aos usuários legítimos Disponibilidade Destruição, Negação De Serviço E – Elevation of Privilege Ocorre quando um indivíduo obtém privilégios e capacidades maiores do que as que lhe são atribuídas legitimamente Autorização Acesso Não Autorizado
Estratégias – Qual é a melhor? • A que funciona! • A modelagem de software tende a funcionar melhor em sistemas com vasta documentação disponível e tempo dedicado para análise, o que não ocorre em muitos lugares. • A modelagem em atacantes está sujeita a preconceitos dos modeladores, o que pode levar a construção de personas irreais ou incompletos, levando a premissas equivocadas do sistema. • A modelagem em ativos necessita de um bom conhecimento dos ativos sob análise e mais ajuda a priorizar o tratamento das ameaças do que a identifica-las propriamente. • É melhor pensar nas estratégias como peças de montar e adequá-las ao tempo, contexto e recursos disponíveis! 19
Armadilhas/erros comuns no assunto 1. “Confie na força, Luke” – falta de abordagem estruturada. 2. Modelar ciclicamente, sem entregar resultados. 3. Foco excessivo no “como” fazer. 4. Tratar MA como uma habilidade nata e não passível de aprendizado. 5. Encontrar ameaças e não realizar seu tratamento. 6. Modelar “no vácuo” – É preciso contar uma história com o sistema! 7. Modelar na hora errada – deixar isso para o final pode dar muita dor de cabeça... 20
Dúvidas? 21
Referências • Threat Modeling: Designing for Security - http://www.amazon.com/Threat-Modeling-Designing- Adam-Shostack/dp/1118809998/ • Modelagem de Ameaças de Segurança - https://technet.microsoft.com/pt-br/library/dd569893.aspx • Desenvolvendo controles de segurança baseados em modelagem de ameaças e análise de requisitos - http://www.researchgate.net/publication/263469540_Dese nvolvendo_controles_de_segurana_baseados_em_modelag em_de_ameaas_e_anlise_de_requisitos • Microsoft Threat Modeling Tool 2014 - http://blogs.microsoft.com/cybertrust/2014/04/15/introduc ing-microsoft-threat-modeling-tool-2014/ 22

Recomendados

Empreender Na Crise
Empreender Na CriseEmpreender Na Crise
Empreender Na Crise
Ana Maria Magni Coelho
 
Aulas Gestão de Processos & Produtividade
Aulas Gestão de Processos & ProdutividadeAulas Gestão de Processos & Produtividade
Aulas Gestão de Processos & Produtividade
Marcos Magnanti
 
Estratégia: Conhecendo conceitos
Estratégia: Conhecendo conceitosEstratégia: Conhecendo conceitos
Estratégia: Conhecendo conceitos
Lucinea Lima Lacerda
 
Kaizen
KaizenKaizen
Kaizen
Marcos Paulo Zuccari
 
Gerenciamento de custos
Gerenciamento de custosGerenciamento de custos
Gerenciamento de custos
Joyce Lopes Simões
 
Aula 01 O que é estratégia
Aula 01 O que é estratégiaAula 01 O que é estratégia
Aula 01 O que é estratégia
alemartins10
 
One on ones
One on onesOne on ones
One on ones
Leonardo Andreucci
 
Scrum e o gerenciamento de projetos
Scrum e o gerenciamento de projetosScrum e o gerenciamento de projetos
Scrum e o gerenciamento de projetos
Vitor Massari
 

Recomendados

Empreender Na Crise
Empreender Na CriseEmpreender Na Crise
Empreender Na Crise
Ana Maria Magni Coelho
 
Aulas Gestão de Processos & Produtividade
Aulas Gestão de Processos & ProdutividadeAulas Gestão de Processos & Produtividade
Aulas Gestão de Processos & Produtividade
Marcos Magnanti
 
Estratégia: Conhecendo conceitos
Estratégia: Conhecendo conceitosEstratégia: Conhecendo conceitos
Estratégia: Conhecendo conceitos
Lucinea Lima Lacerda
 
Kaizen
KaizenKaizen
Kaizen
Marcos Paulo Zuccari
 
Gerenciamento de custos
Gerenciamento de custosGerenciamento de custos
Gerenciamento de custos
Joyce Lopes Simões
 
Aula 01 O que é estratégia
Aula 01 O que é estratégiaAula 01 O que é estratégia
Aula 01 O que é estratégia
alemartins10
 
One on ones
One on onesOne on ones
One on ones
Leonardo Andreucci
 
Scrum e o gerenciamento de projetos
Scrum e o gerenciamento de projetosScrum e o gerenciamento de projetos
Scrum e o gerenciamento de projetos
Vitor Massari
 
Cenário Empresarial
Cenário EmpresarialCenário Empresarial
Cenário Empresarial
Tiago Maboni Derlan
 
Aula - Estratégias de Gestão Organizacional
Aula - Estratégias de Gestão OrganizacionalAula - Estratégias de Gestão Organizacional
Aula - Estratégias de Gestão Organizacional
Michel Moreira
 
Escola de Posicionamento
Escola de PosicionamentoEscola de Posicionamento
Escola de Posicionamento
Jose Ignacio Jaeger Neto, PMP, MSc
 
Motivação
MotivaçãoMotivação
Motivação
Lilian Moreira
 
5 grandes teorias sobre liderança
5 grandes teorias sobre liderança5 grandes teorias sobre liderança
5 grandes teorias sobre liderança
Luis Branco, PMP
 
Aula 2 - Criando valor para o cliente - Prof. Rodrigo Sávio
Aula 2 - Criando valor para o cliente - Prof. Rodrigo SávioAula 2 - Criando valor para o cliente - Prof. Rodrigo Sávio
Aula 2 - Criando valor para o cliente - Prof. Rodrigo Sávio
Rodrigo Sávio
 
Como montar uma padaria
Como montar uma padaria Como montar uma padaria
Como montar uma padaria
Laércio Furtado
 
Ferramentas Do Processo De Desenvolvimento De Produto Como Mecanismos Potenc...
Ferramentas Do Processo De Desenvolvimento De Produto Como Mecanismos Potenc...Ferramentas Do Processo De Desenvolvimento De Produto Como Mecanismos Potenc...
Ferramentas Do Processo De Desenvolvimento De Produto Como Mecanismos Potenc...
mktmkt
 
Autoestima & Autoimagem
Autoestima & AutoimagemAutoestima & Autoimagem
Autoestima & Autoimagem
Daniel de Carvalho Luz
 
Gestão da Qualidade ISO:9001
Gestão da Qualidade ISO:9001Gestão da Qualidade ISO:9001
Gestão da Qualidade ISO:9001
Greice Marques
 
PDCA - OPERAÇÃO
PDCA - OPERAÇÃOPDCA - OPERAÇÃO
PDCA - OPERAÇÃO
Ana C S Zeferino
 
Chefia e Liderança / Processo Decisório
Chefia e Liderança / Processo DecisórioChefia e Liderança / Processo Decisório
Chefia e Liderança / Processo Decisório
Mayara Mônica
 
Apresentação tema clima organizacional by janísio salomão
Apresentação tema clima organizacional by janísio salomãoApresentação tema clima organizacional by janísio salomão
Apresentação tema clima organizacional by janísio salomão
Janísio Salomao
 
Aula chefia e liderança - 24.04.2010
Aula chefia e liderança - 24.04.2010Aula chefia e liderança - 24.04.2010
Aula chefia e liderança - 24.04.2010
Michel Moreira
 
AULA02 - Gerência de Projetos - PMI
AULA02 - Gerência de Projetos - PMIAULA02 - Gerência de Projetos - PMI
AULA02 - Gerência de Projetos - PMI
Daniela Brauner
 
Análise Ambiental Externa e Interna
Análise Ambiental Externa e InternaAnálise Ambiental Externa e Interna
Análise Ambiental Externa e Interna
guest4dea83
 
Processo Decisório - Análise e Solução de Problemas
Processo Decisório - Análise e Solução de ProblemasProcesso Decisório - Análise e Solução de Problemas
Processo Decisório - Análise e Solução de Problemas
INSTITUTO MVC
 
Liderança
LiderançaLiderança
Liderança
Universidade Federal Fluminense
 
Empreendedorismo
EmpreendedorismoEmpreendedorismo
Empreendedorismo
Marcelo Willian
 
gerenciar os processos para agregar valor a organização
gerenciar os processos para agregar valor a organização gerenciar os processos para agregar valor a organização
gerenciar os processos para agregar valor a organização
drifrutal
 
analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptx
analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptxanalise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptx
analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptx
MoysesOliveira3
 
Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...
Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...
Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...
Alexandre Sieira
 

Mais conteúdo relacionado

Mais procurados

Cenário Empresarial
Cenário EmpresarialCenário Empresarial
Cenário Empresarial
Tiago Maboni Derlan
 
Aula - Estratégias de Gestão Organizacional
Aula - Estratégias de Gestão OrganizacionalAula - Estratégias de Gestão Organizacional
Aula - Estratégias de Gestão Organizacional
Michel Moreira
 
Escola de Posicionamento
Escola de PosicionamentoEscola de Posicionamento
Escola de Posicionamento
Jose Ignacio Jaeger Neto, PMP, MSc
 
Motivação
MotivaçãoMotivação
Motivação
Lilian Moreira
 
5 grandes teorias sobre liderança
5 grandes teorias sobre liderança5 grandes teorias sobre liderança
5 grandes teorias sobre liderança
Luis Branco, PMP
 
Aula 2 - Criando valor para o cliente - Prof. Rodrigo Sávio
Aula 2 - Criando valor para o cliente - Prof. Rodrigo SávioAula 2 - Criando valor para o cliente - Prof. Rodrigo Sávio
Aula 2 - Criando valor para o cliente - Prof. Rodrigo Sávio
Rodrigo Sávio
 
Como montar uma padaria
Como montar uma padaria Como montar uma padaria
Como montar uma padaria
Laércio Furtado
 
Ferramentas Do Processo De Desenvolvimento De Produto Como Mecanismos Potenc...
Ferramentas Do Processo De Desenvolvimento De Produto Como Mecanismos Potenc...Ferramentas Do Processo De Desenvolvimento De Produto Como Mecanismos Potenc...
Ferramentas Do Processo De Desenvolvimento De Produto Como Mecanismos Potenc...
mktmkt
 
Autoestima & Autoimagem
Autoestima & AutoimagemAutoestima & Autoimagem
Autoestima & Autoimagem
Daniel de Carvalho Luz
 
Gestão da Qualidade ISO:9001
Gestão da Qualidade ISO:9001Gestão da Qualidade ISO:9001
Gestão da Qualidade ISO:9001
Greice Marques
 
PDCA - OPERAÇÃO
PDCA - OPERAÇÃOPDCA - OPERAÇÃO
PDCA - OPERAÇÃO
Ana C S Zeferino
 
Chefia e Liderança / Processo Decisório
Chefia e Liderança / Processo DecisórioChefia e Liderança / Processo Decisório
Chefia e Liderança / Processo Decisório
Mayara Mônica
 
Apresentação tema clima organizacional by janísio salomão
Apresentação tema clima organizacional by janísio salomãoApresentação tema clima organizacional by janísio salomão
Apresentação tema clima organizacional by janísio salomão
Janísio Salomao
 
Aula chefia e liderança - 24.04.2010
Aula chefia e liderança - 24.04.2010Aula chefia e liderança - 24.04.2010
Aula chefia e liderança - 24.04.2010
Michel Moreira
 
AULA02 - Gerência de Projetos - PMI
AULA02 - Gerência de Projetos - PMIAULA02 - Gerência de Projetos - PMI
AULA02 - Gerência de Projetos - PMI
Daniela Brauner
 
Análise Ambiental Externa e Interna
Análise Ambiental Externa e InternaAnálise Ambiental Externa e Interna
Análise Ambiental Externa e Interna
guest4dea83
 
Processo Decisório - Análise e Solução de Problemas
Processo Decisório - Análise e Solução de ProblemasProcesso Decisório - Análise e Solução de Problemas
Processo Decisório - Análise e Solução de Problemas
INSTITUTO MVC
 
Liderança
LiderançaLiderança
Liderança
Universidade Federal Fluminense
 
Empreendedorismo
EmpreendedorismoEmpreendedorismo
Empreendedorismo
Marcelo Willian
 
gerenciar os processos para agregar valor a organização
gerenciar os processos para agregar valor a organização gerenciar os processos para agregar valor a organização
gerenciar os processos para agregar valor a organização
drifrutal
 

Mais procurados (20)

Cenário Empresarial
Cenário EmpresarialCenário Empresarial
Cenário Empresarial
 
Aula - Estratégias de Gestão Organizacional
Aula - Estratégias de Gestão OrganizacionalAula - Estratégias de Gestão Organizacional
Aula - Estratégias de Gestão Organizacional
 
Escola de Posicionamento
Escola de PosicionamentoEscola de Posicionamento
Escola de Posicionamento
 
Motivação
MotivaçãoMotivação
Motivação
 
5 grandes teorias sobre liderança
5 grandes teorias sobre liderança5 grandes teorias sobre liderança
5 grandes teorias sobre liderança
 
Aula 2 - Criando valor para o cliente - Prof. Rodrigo Sávio
Aula 2 - Criando valor para o cliente - Prof. Rodrigo SávioAula 2 - Criando valor para o cliente - Prof. Rodrigo Sávio
Aula 2 - Criando valor para o cliente - Prof. Rodrigo Sávio
 
Como montar uma padaria
Como montar uma padaria Como montar uma padaria
Como montar uma padaria
 
Ferramentas Do Processo De Desenvolvimento De Produto Como Mecanismos Potenc...
Ferramentas Do Processo De Desenvolvimento De Produto Como Mecanismos Potenc...Ferramentas Do Processo De Desenvolvimento De Produto Como Mecanismos Potenc...
Ferramentas Do Processo De Desenvolvimento De Produto Como Mecanismos Potenc...
 
Autoestima & Autoimagem
Autoestima & AutoimagemAutoestima & Autoimagem
Autoestima & Autoimagem
 
Gestão da Qualidade ISO:9001
Gestão da Qualidade ISO:9001Gestão da Qualidade ISO:9001
Gestão da Qualidade ISO:9001
 
PDCA - OPERAÇÃO
PDCA - OPERAÇÃOPDCA - OPERAÇÃO
PDCA - OPERAÇÃO
 
Chefia e Liderança / Processo Decisório
Chefia e Liderança / Processo DecisórioChefia e Liderança / Processo Decisório
Chefia e Liderança / Processo Decisório
 
Apresentação tema clima organizacional by janísio salomão
Apresentação tema clima organizacional by janísio salomãoApresentação tema clima organizacional by janísio salomão
Apresentação tema clima organizacional by janísio salomão
 
Aula chefia e liderança - 24.04.2010
Aula chefia e liderança - 24.04.2010Aula chefia e liderança - 24.04.2010
Aula chefia e liderança - 24.04.2010
 
AULA02 - Gerência de Projetos - PMI
AULA02 - Gerência de Projetos - PMIAULA02 - Gerência de Projetos - PMI
AULA02 - Gerência de Projetos - PMI
 
Análise Ambiental Externa e Interna
Análise Ambiental Externa e InternaAnálise Ambiental Externa e Interna
Análise Ambiental Externa e Interna
 
Processo Decisório - Análise e Solução de Problemas
Processo Decisório - Análise e Solução de ProblemasProcesso Decisório - Análise e Solução de Problemas
Processo Decisório - Análise e Solução de Problemas
 
Liderança
LiderançaLiderança
Liderança
 
Empreendedorismo
EmpreendedorismoEmpreendedorismo
Empreendedorismo
 
gerenciar os processos para agregar valor a organização
gerenciar os processos para agregar valor a organização gerenciar os processos para agregar valor a organização
gerenciar os processos para agregar valor a organização
 

Semelhante a Estratégias para Modelagem de Ameaças

analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptx
analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptxanalise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptx
analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptx
MoysesOliveira3
 
Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...
Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...
Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...
Alexandre Sieira
 
Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dados
Alexandre Prata
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
Fabio Leandro
 
Aula import seg
Aula import segAula import seg
Aula import seg
JorgewfAlves
 
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTestCyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Joas Antonio dos Santos
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
Alcyon Ferreira de Souza Junior, MSc
 
Por quê o software continua inseguro?
Por quê o software continua inseguro?Por quê o software continua inseguro?
Por quê o software continua inseguro?
Vinicius Oliveira Ferreira
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-so
JOSÉ RAMON CARIAS
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
Symantec Brasil
 
Inteligência Artificial
Inteligência ArtificialInteligência Artificial
Inteligência Artificial
kennedyaraujo
 
Aula11.pdf
Aula11.pdfAula11.pdf
Aula11.pdf
MaritzaDiaz76
 
Inteligência Artificial
Inteligência ArtificialInteligência Artificial
Inteligência Artificial
Kennedy Ferreira
 
eLearnSecurity Certified Threat Hunting Introduction PT 1.pdf
eLearnSecurity Certified Threat Hunting Introduction PT 1.pdfeLearnSecurity Certified Threat Hunting Introduction PT 1.pdf
eLearnSecurity Certified Threat Hunting Introduction PT 1.pdf
MTalhaTayabani
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
Guilherme Neves
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
Guilherme Neves
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Andre Takegawa
 
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & SegurançaA Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
Centus Consultoria
 
Conceitos BáSicos Sobre SegurançA Parte 4
Conceitos BáSicos Sobre SegurançA Parte 4Conceitos BáSicos Sobre SegurançA Parte 4
Conceitos BáSicos Sobre SegurançA Parte 4
Felipe Santos
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
GUTS-RS
 

Semelhante a Estratégias para Modelagem de Ameaças (20)

analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptx
analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptxanalise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptx
analise-de-sistemas-aula-01-bcc-noturno-ema908915a.pptx
 
Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...
Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...
Uma Introdução a Threat Intelligence e Threat Hunting para Empresas Sem Orçam...
 
Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dados
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
 
Aula import seg
Aula import segAula import seg
Aula import seg
 
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTestCyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
Cyber Educação para Jovens - Desenvolvendo suas habilidades em PenTest
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
 
Por quê o software continua inseguro?
Por quê o software continua inseguro?Por quê o software continua inseguro?
Por quê o software continua inseguro?
 
H11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-soH11031 transforming-traditional-security-strategies-so
H11031 transforming-traditional-security-strategies-so
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
 
Inteligência Artificial
Inteligência ArtificialInteligência Artificial
Inteligência Artificial
 
Aula11.pdf
Aula11.pdfAula11.pdf
Aula11.pdf
 
Inteligência Artificial
Inteligência ArtificialInteligência Artificial
Inteligência Artificial
 
eLearnSecurity Certified Threat Hunting Introduction PT 1.pdf
eLearnSecurity Certified Threat Hunting Introduction PT 1.pdfeLearnSecurity Certified Threat Hunting Introduction PT 1.pdf
eLearnSecurity Certified Threat Hunting Introduction PT 1.pdf
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & SegurançaA Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
A Arquitetura Corporativa se encontra com o Gerenciamento de Riscos & Segurança
 
Conceitos BáSicos Sobre SegurançA Parte 4
Conceitos BáSicos Sobre SegurançA Parte 4Conceitos BáSicos Sobre SegurançA Parte 4
Conceitos BáSicos Sobre SegurançA Parte 4
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
 

Mais de Spark Security

Panorama de Segurança na Internet das Coisas
Panorama de Segurança na Internet das CoisasPanorama de Segurança na Internet das Coisas
Panorama de Segurança na Internet das Coisas
Spark Security
 
Deep Web 101 – Vasculhando as profundezas da Internet
Deep Web 101 – Vasculhando as profundezas da InternetDeep Web 101 – Vasculhando as profundezas da Internet
Deep Web 101 – Vasculhando as profundezas da Internet
Spark Security
 
História, Técnica e Classificação de Algoritmos Esteganográficos
História, Técnica e Classificação de Algoritmos EsteganográficosHistória, Técnica e Classificação de Algoritmos Esteganográficos
História, Técnica e Classificação de Algoritmos Esteganográficos
Spark Security
 
Artigo Científico - Classificação de Técnicas Esteganográficas
Artigo Científico - Classificação de Técnicas EsteganográficasArtigo Científico - Classificação de Técnicas Esteganográficas
Artigo Científico - Classificação de Técnicas Esteganográficas
Spark Security
 
Classificação de Algoritmos Esteganográficos
Classificação de Algoritmos EsteganográficosClassificação de Algoritmos Esteganográficos
Classificação de Algoritmos Esteganográficos
Spark Security
 
Gestão de Risco e Segurança Hospitalar
Gestão de Risco e Segurança HospitalarGestão de Risco e Segurança Hospitalar
Gestão de Risco e Segurança Hospitalar
Spark Security
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
Spark Security
 
A3 - Análise de ameaças - Threat analysis in goal oriented security requireme...
A3 - Análise de ameaças - Threat analysis in goal oriented security requireme...A3 - Análise de ameaças - Threat analysis in goal oriented security requireme...
A3 - Análise de ameaças - Threat analysis in goal oriented security requireme...
Spark Security
 
A2 - Aspectos Psicológicos - The Psychology of Security
A2 - Aspectos Psicológicos - The Psychology of SecurityA2 - Aspectos Psicológicos - The Psychology of Security
A2 - Aspectos Psicológicos - The Psychology of Security
Spark Security
 
A1 - Cibersegurança - Raising the Bar for Cybersecurity
A1 - Cibersegurança - Raising the Bar for CybersecurityA1 - Cibersegurança - Raising the Bar for Cybersecurity
A1 - Cibersegurança - Raising the Bar for Cybersecurity
Spark Security
 
Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece? Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece?
Spark Security
 
The Psychology Behind Security - ISSA Journal Abril 2010
The Psychology Behind Security - ISSA Journal Abril 2010The Psychology Behind Security - ISSA Journal Abril 2010
The Psychology Behind Security - ISSA Journal Abril 2010
Spark Security
 

Mais de Spark Security (12)

Panorama de Segurança na Internet das Coisas
Panorama de Segurança na Internet das CoisasPanorama de Segurança na Internet das Coisas
Panorama de Segurança na Internet das Coisas
 
Deep Web 101 – Vasculhando as profundezas da Internet
Deep Web 101 – Vasculhando as profundezas da InternetDeep Web 101 – Vasculhando as profundezas da Internet
Deep Web 101 – Vasculhando as profundezas da Internet
 
História, Técnica e Classificação de Algoritmos Esteganográficos
História, Técnica e Classificação de Algoritmos EsteganográficosHistória, Técnica e Classificação de Algoritmos Esteganográficos
História, Técnica e Classificação de Algoritmos Esteganográficos
 
Artigo Científico - Classificação de Técnicas Esteganográficas
Artigo Científico - Classificação de Técnicas EsteganográficasArtigo Científico - Classificação de Técnicas Esteganográficas
Artigo Científico - Classificação de Técnicas Esteganográficas
 
Classificação de Algoritmos Esteganográficos
Classificação de Algoritmos EsteganográficosClassificação de Algoritmos Esteganográficos
Classificação de Algoritmos Esteganográficos
 
Gestão de Risco e Segurança Hospitalar
Gestão de Risco e Segurança HospitalarGestão de Risco e Segurança Hospitalar
Gestão de Risco e Segurança Hospitalar
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
 
A3 - Análise de ameaças - Threat analysis in goal oriented security requireme...
A3 - Análise de ameaças - Threat analysis in goal oriented security requireme...A3 - Análise de ameaças - Threat analysis in goal oriented security requireme...
A3 - Análise de ameaças - Threat analysis in goal oriented security requireme...
 
A2 - Aspectos Psicológicos - The Psychology of Security
A2 - Aspectos Psicológicos - The Psychology of SecurityA2 - Aspectos Psicológicos - The Psychology of Security
A2 - Aspectos Psicológicos - The Psychology of Security
 
A1 - Cibersegurança - Raising the Bar for Cybersecurity
A1 - Cibersegurança - Raising the Bar for CybersecurityA1 - Cibersegurança - Raising the Bar for Cybersecurity
A1 - Cibersegurança - Raising the Bar for Cybersecurity
 
Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece? Porque a Criptografia é mais difícil do que parece?
Porque a Criptografia é mais difícil do que parece?
 
The Psychology Behind Security - ISSA Journal Abril 2010
The Psychology Behind Security - ISSA Journal Abril 2010The Psychology Behind Security - ISSA Journal Abril 2010
The Psychology Behind Security - ISSA Journal Abril 2010
 

Último

História da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptxHistória da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptx
TomasSousa7
 
Logica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptxLogica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptx
Momento da Informática
 
Certificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdfCertificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdf
joaovmp3
 
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdfDESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
Momento da Informática
 
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
Faga1939
 
Segurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas PráticasSegurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas Práticas
Danilo Pinotti
 
Manual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdfManual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdf
WELITONNOGUEIRA3
 
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdfTOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
Momento da Informática
 

Último (8)

História da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptxHistória da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptx
 
Logica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptxLogica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptx
 
Certificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdfCertificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdf
 
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdfDESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
 
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
 
Segurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas PráticasSegurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas Práticas
 
Manual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdfManual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdf
 
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdfTOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
 

Estratégias para Modelagem de Ameaças

  • 1. Estratégias para Modelagem de Ameaças Nichols Jasper – SafeGuard STI 17º Congresso de Tecnologia – FATEC-SP 06/10/2015
  • 2. Agenda • Termos e Definições • Contextualizando: Star Wars • Algo do outro mundo? #sqn • Para que serve • Metodologia • Estratégias para modelagem de ameaças • Armadilhas/erros comuns no assunto • Dúvidas • Referências 2
  • 3. Termos e Definições • Ativo* • Qualquer coisa tangível ou intangível que tem valor para uma organização ou indivíduo. • Vulnerabilidade* • Fragilidade de um ativo ou controle de segurança que pode ser explorada por uma ou mais ameaças. • Ameaça* • Causa potencial de um incidente indesejado que pode resultar em dano a um ativo (sistema, pessoas, reputação, etc) ou organização. • Agente ou Fonte de ameaça** • É autor que intencionalmente ou não explora uma vulnerabilidade e causa impacto, danos ou prejuízos, nos ativos do alvo explorado. • Por trás de toda ameaça intencional existe alguma motivação: política, ideológica, financeira, religiosa, emocional, etc. • * Fonte: ISO/IEC 27000, Information technology – Security techniques – Information security management systems - Overview and vocabulary • ** Fonte: NISTIR 7298 Revision 2 Glossary of Key Information Security Terms 3
  • 4. Vídeo – Star Wars • O Retorno de Jedi (1983) 4
  • 5. Termos e Definições • Contextualizando.... 5Crédito: Leandro Rocha http://pt.slideshare.net/leandroroc/modelagem-ameaas-para-pentester Ativo Ameaça Mitigação Vulnerabilidade (Exaustor Termal)
  • 6. Termos e Definições • “Modelagem de Ameaças consiste no processo de usar abstrações para identificar e avaliar as ameaças de um dado sistema” - Adam Shostack • Parte do princípio que para se proteger adequadamente é necessário entender bem contra o que ou quem se deseja defender. • Isto é possível ao examinar os sistemas sob o ponto de vista de um adversário em potencial (ameaça), identificando os maiores riscos aos quais os sistemas estão expostos. • Como resultado se obtém uma lista das possíveis ameaças e opções para tratar o risco de sua materialização. 6
  • 7. Algo do outro mundo? #sqn • O ser humano começou a modelar ameaças desde o momento em que começou a pensar em se proteger ou evitar que alguma coisa danosa acontecesse. • Estas atividades fazem parte do cotidiano das pessoas e são aplicadas: • No projeto de sistemas críticos, como projetos de aviões e de usinas nucleares. • Na seção de "precauções" nos manuais eletrodomésticos. • Nos avisos de capacidade máxima dos elevadores. • Nas bulas de remédios (efeitos colaterais). • Nas faixas amarelas das estações de metrô. 7
  • 8. Algo do outro mundo? #sqn • Um museu que guarda artefatos, joias e peças de arte raras modela ameaças quando pensa em proteger tais itens de um agente de ameaça que pode causar algum dano a esses ativos, causando prejuízo à instituição. • Um professor que quer evitar que seus alunos colem também precisa modelar essa ameaça! • Enfim, é uma atividade que todos fazemos cotidianamente e nem notamos! 8
  • 9. Exercício prático: Qual casa é mais fácil de invadir? • Agente de ameaça: Ladrão de casas perito em abrir fechaduras A B 9
  • 10. 10 Mas mesmo assim tem gente que consegue...
  • 11. Modelagem de Ameaças: Para que serve? • Há várias razões para modelar ameaças: 1. Encontrar problemas de segurança: se pensamos em construir uma casa, algumas decisões irão impactar em sua segurança, como a presença de cercas e a disposição das janelas. 2. Ampliar a compreensão dos requisitos de segurança: ao passo que encontramos ameaças e fazemos uma avaliação podemos compreender melhor as proteções necessárias. 3. Projetar e entregar produtos melhores: ao considerarmos as ameaças, requisitos e necessidades de design é possível reduzir as chances de haver retrabalho e mudanças significativas no sistema durante seu desenvolvimento. 4. Achar erros que outras técnicas não acham: modelos do que pode dar errado ajudam a criticar as premissas do sistema e descobrir erros, omissões e problemas que as técnicas tradicionais não encontram. 11
  • 12. Metodologia para modelar ameaças • O que você está construindo? Modelar o sistema • O que pode dar errado quando ele estiver construído? Identificar ameaças • O que você deveria fazer a respeito dessas coisas que podem dar errado? Mitigar os riscos associado às ameaças • Seu trabalho de análise foi feito com qualidade?Revisão 12
  • 13. Estratégias – Focando nos Ativos • Envolver identificar três itens: • O que você quer proteger? • O cadastro de clientes. • Fórmula do principal produto da organização. • As joias da coroa. • O que um atacante quer? • Os usuários e senhas de acesso ao sistema de vendas. • Números de cartão de crédito. • Deixar o site da sua empresa fora do ar na Black Friday. • Possíveis barreiras entre eles • Recursos e controles de segurança que separam os itens acima. 13
  • 14. Estratégias – Focando nos Atacantes • Envolve a compreensão dos potenciais atacantes e do seu conjunto de habilidades e motivações para explorar as vulnerabilidades. • Normalmente se usam personas, personagens fictícios criados para representar os diferentes tipos de ameaça a um dado sistema. • Pensando num sistema de controle de lançamento de ogivas nucleares: • O que um espião de uma nação inimiga poderia fazer? • E um administrador de sistema mal intencionado? • E um funcionário bem intencionado mas sem o treinamento adequado para operar o sistema? 14
  • 15. Estratégias – Focando nos Softwares • Foca na decomposição dos sistemas de software através de diversos modelos que possibilitem enxergar as ameaças relevantes. • São usados os tradicionais diagramas DFD e UML para enxergar além do funcionamento “normal” do sistema. • É a estratégia usada e desenvolvida pela Microsoft, uma das precursoras da modelagem de ameaças em software. 15
  • 16. Estratégias – Focando nos Softwares 16 Requisitos de Segurança Controles de Segurança Ameaças Ameaças ajudam a identificar requisitos de segurança Ameaças em potencial violam os requisitos de segurança de um sistema Requisitos de segurança são integrados aos sistemas através de controles de segurança e visam endereçar as ameaças aos sistemas.
  • 17. Estratégias – Focando nos Softwares •DFD •UML 17
  • 18. Estratégias – O que pode dar errado - STRIDE 18 Categoria Descrição Princípio de Segurança afetado Impacto Adverso no sistema S – Spoofing Ocorre quando um usuário consegue se passar por outro Autenticação Acesso Não Autorizado T – Tampering Envolve a modificação maliciosa de um ativo Integridade Modificação Da Informação R – Repudiation Está associada quando um principal executa uma ação e depois pode negá-la sem algo que o conteste Não Repúdio Acesso Não Autorizado I – Information Disclosure Relacionada a exposição de informações a indivíduos que não estão autorizados a ter o acesso Confidencialidade Divulgação de Informações D – Denial of Service Envolve a degradação ou interrupção de um serviço ou ativo aos usuários legítimos Disponibilidade Destruição, Negação De Serviço E – Elevation of Privilege Ocorre quando um indivíduo obtém privilégios e capacidades maiores do que as que lhe são atribuídas legitimamente Autorização Acesso Não Autorizado
  • 19. Estratégias – Qual é a melhor? • A que funciona! • A modelagem de software tende a funcionar melhor em sistemas com vasta documentação disponível e tempo dedicado para análise, o que não ocorre em muitos lugares. • A modelagem em atacantes está sujeita a preconceitos dos modeladores, o que pode levar a construção de personas irreais ou incompletos, levando a premissas equivocadas do sistema. • A modelagem em ativos necessita de um bom conhecimento dos ativos sob análise e mais ajuda a priorizar o tratamento das ameaças do que a identifica-las propriamente. • É melhor pensar nas estratégias como peças de montar e adequá-las ao tempo, contexto e recursos disponíveis! 19
  • 20. Armadilhas/erros comuns no assunto 1. “Confie na força, Luke” – falta de abordagem estruturada. 2. Modelar ciclicamente, sem entregar resultados. 3. Foco excessivo no “como” fazer. 4. Tratar MA como uma habilidade nata e não passível de aprendizado. 5. Encontrar ameaças e não realizar seu tratamento. 6. Modelar “no vácuo” – É preciso contar uma história com o sistema! 7. Modelar na hora errada – deixar isso para o final pode dar muita dor de cabeça... 20
  • 22. Referências • Threat Modeling: Designing for Security - http://www.amazon.com/Threat-Modeling-Designing- Adam-Shostack/dp/1118809998/ • Modelagem de Ameaças de Segurança - https://technet.microsoft.com/pt-br/library/dd569893.aspx • Desenvolvendo controles de segurança baseados em modelagem de ameaças e análise de requisitos - http://www.researchgate.net/publication/263469540_Dese nvolvendo_controles_de_segurana_baseados_em_modelag em_de_ameaas_e_anlise_de_requisitos • Microsoft Threat Modeling Tool 2014 - http://blogs.microsoft.com/cybertrust/2014/04/15/introduc ing-microsoft-threat-modeling-tool-2014/ 22