O que é modelagem de ameaças? 10 métodos de identidade de ameaça explicados

A modelagem de ameaças é um processo para identificar possíveis ameaças à segurança de rede de uma organização e todas as vulnerabilidades que podem ser exploradas por essas ameaças.

A maioria dos protocolos de segurança é reativa - as ameaças são isoladas e corrigidas depois de serem injetadas em um sistema. A modelagem de ameaças, por outro lado, é uma abordagem proativa da segurança cibernética, por meio da qual ameaças potenciais são identificadas e antecipadas. Isso permite que métodos de prevenção direcionados sejam implantados preventivamente para maximizar as chances de mitigar violações de dados.

O processo de modelagem de ameaças normalmente consiste em quatro etapas - identificar ativos, identificar ameaças, analisar vulnerabilidades e criar contramedidas ou salvaguardas para proteger contra riscos identificados.

Nesta postagem, discutiremos diferentes estruturas de modelagem de ameaças para ajudá-lo a estabelecer uma primeira linha de defesa confiável na proteção de redes, aplicativos e dados contra ameaças.

Qual é a diferença entre modelagem de ameaças e análise de ameaças?

A modelagem de ameaças é um processo de prever todas as ameaças potenciais ao ecossistema de uma organização e as vulnerabilidades em risco de serem exploradas por elas. A análise de ameaças, no entanto, se concentra em como um invasor pode explorar vulnerabilidades para obter acesso a recursos ou dados confidenciais.

Os dois processos têm abordagens sobrepostas que, juntas, atingem o mesmo objetivo de mitigação de ameaças.

A modelagem de ameaças depende muito de métricas como o tempo médio entre falhas (MTBF) ao calcular a gravidade da vulnerabilidade, enquanto a análise de ameaças levará em consideração fatores como a complexidade do vetor de ataque ao avaliar a probabilidade de exploração.

Um resumo mais conciso da diferença é que a Modelagem de Ameaças é de natureza mais teórica, enquanto a Análise de Ameaças requer um conhecimento técnico.

Como você pode identificar ameaças por meio da modelagem de ameaças?

Ao modelar ameaças cibernéticas em diferentes cenários de ataque, podemos entender claramente o comportamento de cada adversário em potencial, o que leva a uma identificação de todas as diferentes ameaças vinculadas a eles.

Esse processo de identificação de engenharia reversa ficará mais claro à medida que discutirmos as diferentes estruturas de Modelagem de Ameaças mais adiante neste post.

Quais são os benefícios da modelagem de ameaças?

O principal benefício da modelagem de ameaças é que ela ajuda as organizações a pintar uma imagem clara de todos os cibernéticos que podem prejudicar sua segurança. Isso não apenas ajuda as equipes de segurança a otimizar suas defesas cibernéticas, mas também pode tornar sua postura de segurança atraente para clientes em potencial, caso eles solicitem prova de due diligence.

Como a modelagem de ameaças pode ser conduzida em qualquer ponto do processo de desenvolvimento de software, ela pode ajudar a identificar brechas de segurança negligenciadas na base de código que podem ser corrigidas com práticas aprimoradas de codificação de segurança.

O processo de modelagem de ameaças

O processo de Modelagem de Ameaças consiste nos seguintes objetivos:

1. Identificação de ativos

Todos os ativos dentro do ecossistema que poderiam ser potencialmente visados devem ser identificados. Esse processo tornou-se cada vez mais complicado com a recente aceleração global da transformação digital. Com a maioria das colaborações de fornecedores ocorrendo agora na nuvem, os limites entre os ativos são confusos.

O mapeamento da pegada digital pode ajudar a identificar ativos ocultos vinculados aos seus dados confidenciais, delineando a trajetória da transformação de dados em toda a rede do fornecedor.

2. Identificação de ameaças

Antes que as ameaças possam ser identificadas, todas as vulnerabilidades no ecossistema precisam ser conhecidas. Isso identificará as ameaças específicas capazes de explorá-las.

Para obter uma lista de vulnerabilidades pelas quais sua organização pode ser afetada, consulte a lista das 10 principais do Open Web Application Security Project (OWASP). Esta lista descreve as 10 vulnerabilidades de aplicativos da Web mais prevalentes a cada ano.

Esta lista é um ótimo ponto de partida ao executar a modelagem de ameaças para aplicativos Web. Ele descreve as vulnerabilidades mais comuns em aplicativos da web e, devido à sua popularidade, geralmente é o primeiro estágio de reconhecimento por cibercriminosos em busca de possíveis vetores de ataque.

O método mais eficiente de identificar todas as vulnerabilidades é por meio de uma solução de monitoramento de superfície de ataque, como o UpGuard.

O UpGuard pode identificar instantaneamente todas as vulnerabilidades localizadas internamente e em toda a rede de terceiros a partir de uma interface limpa.

Uma vez que todas as vulnerabilidades são identificadas, elas podem ser comparadas aos comportamentos de ameaças cibernéticas comuns para identificar riscos potenciais.

Tipos comuns de ameaças

O espectro de possíveis agentes de ameaças é vasto. Aqui está uma lista de perguntas que ajudarão a revelar possíveis agentes de ameaças em categorias comuns:

Categoria de ameaça: ameaças internas

• Sua infraestrutura pode ser acessada por usuários internos não autorizados?
• Se a infraestrutura for implementada em uma conta da SoftLayer, um administrador de uma solução poderá desativar outro ambiente?

Categoria de ameaça: ameaças externas

• É possível que um cliente finja ser outro cliente?
• Sua infraestrutura pode ser acessada por usuários externos não autorizados?
• As credenciais do usuário final estão sendo comprometidas?
• Os usuários podem escalar seus privilégios?
• No caso de um usuário privilegiado se tornar desonesto, há algo para descobri-lo e desarmá-lo?

Categoria de ameaça: Hospedagem de aplicativos

• Sua VPN pode ser invadida?
• Há algum vazamento de dados vinculado ao seu aplicativo na dark web?
• Seus dados confidenciais podem ser acessados pelo seu provedor de hospedagem?
• Existem riscos de perda de dados ou IP?
• Existe algum risco de portos ou serviços não seguros?

Categoria de ameaça: acesso a dados

• Existe o risco de sua interface do usuário ser explorada para acessar os dados do cliente?
• Existe o risco de um fornecedor com acesso aos seus dados confidenciais ser violado?
• Existem fluxos de dados não criptografados?
• Um usuário de produção pode modificar o código?

3. Análise de vulnerabilidade

Isso envolve uma investigação completa em cada vulnerabilidade específica para que os esforços de correção mais eficazes possam ser projetados.

Esse processo se torna complicado quando vulnerabilidades são detectadas na rede do fornecedor, nessas situações, uma avaliação de risco de terceiros pode ser enviada ao fornecedor afetado para solicitar mais detalhes sobre a exposição.

4. Projeto de contramedidas de ameaças

Com todas as vulnerabilidades identificadas e as ameaças que podem explorá-las, defesas de alto alvo podem ser implementadas.

Uma solução de monitoramento de superfície de ataque fornecerá sugestões de correção, bem como uma equipe de especialistas em segurança cibernética que podem implementá-las em seu nome. Esse é o método mais eficiente de mitigação de ameaças, pois pode ser facilmente dimensionado sem esgotar os recursos internos.

Quais são algumas técnicas populares de modelagem de ameaças?

As técnicas de modelagem de ameaças mapeiam o fluxo de dados em sua rede e os diferentes estágios de um possível ataque cibernético. As técnicas de modelagem de ameaças mais populares são diagramas de fluxo de dados e árvores de ataque.

Diagramas de fluxo de dados (DFD)

Um diagrama de fluxo de dados é um esquema que ilustra o fluxo de dados através da rede de uma organização. No exemplo abaixo, as linhas tracejadas indicam limites de confiança que são pontos Um limite de confiança é o ponto em que uma entidade confia em outra entidade para realizar uma ação em seu nome, sem qualquer verificação do que acontece depois desse ponto

Aprenda a criar um diagrama de fluxo Dara.

Os diagramas de fluxo de dados podem não representar todas as informações úteis para as equipes de segurança. Para um analista mais abrangente e, portanto, relevante, também deve ser criado um Diagrama de Fluxo de Processo

Árvores de Ataque

As árvores de ataque simplificam a identificação de possíveis ameaças. Eles dividem os diferentes estágios de um ataque a partir do objetivo malicioso primário.

Aqui está um exemplo de uma árvore de ataque.

À medida que uma árvore de ataque é construída, as condições específicas necessárias para um ataque cibernético bem-sucedido ficarão claras.

10 Metodologias de Modelagem de Ameaças

Existem várias estruturas de modelagem de ameaças, cada uma com seus próprios benefícios e limitações. Algumas estruturas são mais apropriadas para determinados casos de uso do que outras. A lista abaixo descreve as principais diferenças entre cada caso de uso para ajudá-lo a tomar uma decisão informada sobre o que é melhor para suas necessidades de segurança.

1. PASSO

A metodologia STRIDE foi originalmente desenvolvida pela Microsoft, tornando-a a metodologia mais antiga desta lista. Ele descreve todas as ameaças potenciais dentro de um sistema e as propriedades específicas que estão sendo violadas.

A metodologia STRIDE é usada como uma estrutura na Ferramenta de Modelagem de Ameaças da Microsoft.

O termo STRIDE é um mnemônico para os diferentes inquilinos da metodologia:

S - Spoofing: Quando uma ameaça assume uma identidade falsa. Isso violou a propriedade Authentication.

T - Adulteração: A modificação dos dados do sistema para atingir objetivos maliciosos. Isso viola a propriedade Integrity.

R - Repúdio: A capacidade de um intruso de negar atividade maliciosa na ausência de provas suficientes. Isso viola a propriedade de não repúdio.

I - Divulgação de Informações: A exposição de informações a que um intruso não está autorizado a acessar. Isso viola a propriedade de confidencialidade.

D - Negação de serviço: Um adversário esgota os recursos do sistema por meios maliciosos. Isso viola a propriedade de disponibilidade.

E - Elevação de privilégio - A execução de comandos além da jurisdição dos privilégios da conta. Isso viola a propriedade authorization.

Saiba mais sobre como descobrir falhas de design de segurança com a abordagem STRIDE.

A metodologia STRIDE é limitada em certos casos por sua generalidade. Para obter diretrizes mais prescritivas sobre exposições de limite de elemento e confiança, a Microsoft desenvolveu variações de dimensão mais altas de STRIDE, conhecidas como STRIDE-per-element e STRIDE-per-interaction, respectivamente.

2. P.A.S.T.A

O Processo de Simulação de Ataques e Análise de Ameaças (PASTA). É uma metodologia centrada no risco que consiste em sete etapas. O processo oferece enumeração dinâmica de ameaças e atribui uma pontuação a cada uma delas.

A metodologia PASTA abre a modelagem de ameaças para a contribuição estratégica das partes interessadas. É muito eficaz na identificação de cenários de exploração comumente negligenciados porque cria um produto centrado no invasor e saídas centradas em ativos.

3. Triciclo

O Trike é uma estrutura de auditoria de segurança que transforma um modelo de ameaça em uma ferramenta de gerenciamento de riscos. Uma auditoria Trike começa criando uma matriz resumindo as relações entre atores, ações e ativos.

A coluna dessa matriz representa os ativos do sistema e as linhas representam os atores. Cada elemento da matriz é dividido em quatro partes que representam as ações do CRUD:

• Criar
• Leitura
• Atualização
• Emendar

Cada uma dessas seções recebe um dos seguintes valores:

• Permitido
• Desaprovados
• Ação com regras

Cada elemento dessa matriz é então mapeado para atores e ativos com um Diagrama de Fluxo de Dados (DFD) para identificar quaisquer ameaças. Uma árvore de ataque é então criada com todas as ameaças descobertas se tornando nós raiz.

O objetivo é atribuir a cada ator uma pontuação com base no nível de risco (0=sem risco e 5=risco máximo) para cada ação ou interação de ativos. Cada ação deve receber uma classificação de permissão - sempre, às vezes ou nunca).

4. VASTO

O modelo Visual, Agile and Simple Threat (VAST) é um método de segurança que pressupõe que o invasor tenha um número ilimitado de maneiras de atacar. Foi desenvolvido por Bruce Schneier, um conhecido criptógrafo americano.

O modelo VAST permite que as equipes de segurança avaliem o risco de duas perspectivas diferentes - arquitetônica e operacional.

Os modelos de ameaças arquitetônicas são representados por meio de diagramas de fluxo de processo e os modelos de ameaças operacionais são representados por meio de diagramas de fluxo de dados.

5. Árvores de ataque

Uma árvore de ataque iniciada com um nó raiz denota o objetivo principal de um invasor e os nós filhos que se ramificam dele. Cada nó filho representa uma condição que torna o nó pai uma possibilidade. Esses nós filhos podem se ramificar ainda mais em condições "E" e "OU".

6. CVSS

O Common Vulnerability Scoring System (CVSS) foi desenvolvido pelo NIST. Ele classifica cada vulnerabilidade por uma pontuação de gravidade de 10, sendo 10 a mais crítica. O CVSS fornece um sistema de pontuação padronizado para todas as vulnerabilidades de rede.

O NIST publica uma lista atualizada regularmente de CVEs que as organizações podem usar para otimizar seus esforços de mitigação de ameaças.

7. O.C.T.A.V.E

O método de Avaliação de Ameaças, Ativos e Vulnerabilidades Operacionalmente Críticas (OCTAVE) é uma avaliação baseada em risco. A OCTAVE se concentra em riscos organizacionais e não em riscos tecnológicos.

O método OCTAVE é composto por três fases:

1. Avalie uma organização criando perfis de ameaças baseados em ativos.
2. Identifique e avalie todas as vulnerabilidades da infraestrutura.
3. Identificação de todos os riscos para ativos críticos através do desenvolvimento de uma estratégia de segurança

8. Método de Modelagem Quantitativa de Ameaças (QTTM)

A Metodologia de Modelagem Quantitativa de Ameaças (QTMM) usa métodos quantitativos para medir e avaliar o risco representado pelas ameaças identificadas. O QTTM usa modelos estatísticos baseados empiricamente, como regressão logística ou processos de Poisson, para identificar possíveis ataques a todos os ativos expostos.

Esse método combina STRIDE, árvores de ataque e métodos CVSS. Este método é ideal para sistemas com interdependências específicas entre componentes.

Primeiro, as árvores de ataque são criadas para cada categoria STRIDE para mapear uma relação entre as categorias de ataque e os componentes da árvore de ataque. Em seguida, cada um desses componentes recebe uma pontuação de gravidade com o método CVSS.

9. D.R.E.A.D

Este método é o último desta lista, pois sua eficácia como modelo de ameaça foi questionada. A Microsoft descontinuou o uso do DREAD em 2008 devido a classificações inconsistentes.

O modelo DREAD usa 5 categorias para classificar cada risco de segurança:

• Potencial de Dano: Classifica o quociente de dano causado por uma fraqueza explorada.
• Reprodutibilidade: classifica a facilidade com que um ataque cibernético pode ser reproduzido.
• Exploração: Classifica a dificuldade de lançar um ataque cibernético específico.
• Usuários afetados: atribui um valor que representa o número de usuários afetados se uma exploração for proliferada.
• Capacidade de descoberta: atribui um valor que indica a facilidade de descobrir uma determinada ameaça.

10. MITRA

O MITRE ATT&CK é uma estrutura para segurança cibernética, que divide o ciclo de vida de um ataque em 14 estágios (chamado de "Táticas" pelo MITRE).

Cada estágio tem seus próprios requisitos definidos, mas ainda segue seis temas abrangentes:

• Planejamento pré-ataque;
• Recursos pós-ataque
• Interação adversária/análise comportamental;
• Ferramentas e técnicas usadas (ou seja, qual malware foi implantado)
• Coleta de inteligência após a detecção de um incidente
• Revisão do log do aplicativo

O MITRE ATT&CK não cobre uma lista abrangente de todos os métodos de ataque cibernético, mas oferece uma lista de verificação simples para uma avaliação rápida de possíveis vulnerabilidades em seu sistema.

Saiba mais sobre a metodologia MITRE ATT&CK.