Modelo de ameaça

No campo da segurança de computadores , o modelo de ameaça é um processo pelo qual ameaças potenciais , como vulnerabilidades estruturais, podem ser identificadas, listadas e priorizadas - da perspectiva do invasor hipotético. Ou seja, esse processo de identificação, contagem e priorização de ameaças potenciais pesa sobre um defensor e seu patrimônio (dados, sistemas, etc.).

Teoricamente, a maioria das pessoas incorpora alguma forma de modelo de ameaça em sua vida cotidiana e não percebe isso. Os usuários usam a modelagem de ameaças para examinar o que pode dar errado no caminho para o trabalho pela manhã, a fim de tomar medidas preventivas para evitar certos acidentes. As crianças estão envolvidas na modelagem de ameaças quando se trata de determinar a melhor maneira de atingir uma meta e, ao mesmo tempo, evitar o valentão do playground. Mais formalmente, a modelagem de ameaças tem sido usada para priorizar a preparação da defesa militar desde a Antiguidade.

Além disso, um modelo de ameaça é sempre ad hoc e nunca definitivo, seus parâmetros estão em constante evolução, seja em termos de exposição e vulnerabilidade do patrimônio dos defensores, seja da natureza e recursos de seus adversários potenciais.

A ideia de modelagem de ameaças se junta ao princípio de gerenciamento de risco .

Evolução da modelagem de ameaças de computador

Logo após o início da computação compartilhada no início dos anos 1960, as pessoas procuraram maneiras de explorar a vulnerabilidade de segurança para ganho pessoal. Isso levou engenheiros e cientistas da computação a desenvolver rapidamente conceitos de modelagem de ameaças para sistemas de computador.

As primeiras metodologias de modelagem de ameaças são baseadas no conceito de modelos arquitetônicos apresentados pela primeira vez por Christopher Alexander em 1977. Em 1988, Robert Banard desenvolveu e aplicou com sucesso o primeiro perfil de um invasor de sistema de computador.

Em 1994, Edward Amoroso apresentou o conceito de árvore da ameaça em seu livro “Fundamentals of Computer Technological Security”. O conceito de árvore de ameaças foi baseado em diagramas de árvore de decisão. As árvores de ameaças são representadas graficamente como uma ameaça potencial a um sistema de computador que pode ser explorado.

A NSA e a DARPA realizaram de forma independente um trabalho semelhante em uma representação gráfica estruturada de como ataques específicos contra sistemas de computador podem ser executados. A representação final foi chamada de “árvores de ataque”. Em 1998, Bruce Schneier publicou sua análise de riscos cibernéticos usando árvores de ataque em seu artigo intitulado “Rumo a uma metodologia para a engenharia de sistemas seguros”. Este documento provou ser uma contribuição decisiva na evolução da modelagem de ameaças para sistemas de computador. Na análise de Schneier, o objetivo do invasor é representado como um “nó raiz” com o meio potencial de atingir o objetivo representado como um “nó folha”. Usar a árvore de ameaças dessa forma permitiu que os profissionais de segurança considerassem sistematicamente vários vetores de ataque contra um alvo definido.

Em 1999, os profissionais de segurança da Microsoft Loren Kohnfelder e Praerit Gard aplicaram a análise da árvore de ameaças de Schneier para desenvolver uma maneira metódica que visa considerar possíveis ataques relevantes para o desenvolvimento do ambiente a partir do Microsoft Windows. O modelo de ameaça STRIDE resultante (STRIDE é um acrônimo para roubo de identidade, adulteração de dados, repúdio, divulgação de informações, negação de serviço, elevação de privilégio) forçou os profissionais de segurança a determinar sistematicamente como um potencial invasor pode usar qualquer ameaça classificada STRIDE em cada nó uma árvore do tipo Schneier.

Em 2003, o método OCTAVE (Avaliação de Ameaça, Ativo e Vulnerabilidade Operacionalmente Crítica), um método de modelagem de ameaça baseado na avaliação de risco, foi introduzido pela primeira vez com ênfase particular no gerenciamento de risco organizacional. Em 2004, Frank Swiderski e Window Snyder escreveram “Threat Modeling,” para a Microsoft Press, onde desenvolveram o conceito de uso de modelos de ameaças para criar aplicativos seguros.

Em 2014, Ryan Stillions expressa a ideia de que as ameaças cibernéticas podem ser expressas com diferentes níveis semânticos, ele propôs o modelo DML (Detection Maturity Level). Um ataque é uma instanciação de um cenário de ameaça causado por um atacante específico com um objetivo específico em mente e uma estratégia para atingir esse objetivo. Objetivo e estratégia representam os níveis semânticos mais elevados do modelo DML. Em seguida, vêm os TPP (Táticas, Técnicas e Procedimentos) que representam os níveis semânticos intermediários. O nível semântico mais fraco do modelo DML são as ferramentas usadas pelo invasor, host e artefatos de rede observados, como endereços IP no nível semântico mais baixo. As ferramentas SIEM atuais geralmente fornecem apenas indicadores nos níveis semânticos mais baixos. Portanto, é necessário desenvolver ferramentas SIEM capazes de fornecer indicadores de ameaças em níveis semânticos mais elevados.

Métodos de modelagem de ameaças

Teoricamente, a implementação do modelo de ameaça resulta da aplicação de uma metodologia. Existem muitas metodologias de modelagem para esta implementação. Abaixo estão algumas das metodologias mais populares.

A metodologia STRIDE

A abordagem STRIDE para modelagem de ameaças foi introduzida em 1999 na Microsoft, que permitiu aos desenvolvedores encontrar “ameaças aos nossos produtos”. O modelo de ameaça desenvolvido e publicado pela Microsoft e mais especificamente relacionado à metodologia STRIDE, inclui tópicos de modos e práticas, recursos e pontos de partida. Além disso, quando se refere à “” metodologia da Microsoft, geralmente é STRIDE.

PASTA (Processo para Simulação de Ataque e Análise de Ameaças)

O processo de Simulação de Ataque e Análise de Ameaças é uma metodologia baseada em risco que é dividida em sete etapas. Essa metodologia ajuda a alinhar os objetivos operacionais e os requisitos técnicos, levando em consideração questões de conformidade e análises operacionais. O objetivo do método é fornecer um processo dinâmico de identificação, contagem e pontuação de ameaças. Quando o modelo de ameaça estiver completo, os especialistas em segurança podem construir uma análise detalhada das ameaças identificadas e, em seguida, listar os controles de segurança apropriados. Essa metodologia tem como objetivo fornecer uma visão centrada no invasor do aplicativo e da infraestrutura a partir da qual os defensores podem desenvolver uma estratégia de mitigação centrada nos ativos.

TRIKE

A metodologia TRIKE enfatiza o uso de modelos de ameaças como uma ferramenta de gerenciamento de risco. Nesse caso, os modelos de ameaça são baseados em um “modelo de requisitos”. O modelo de requisitos estabelece o nível de risco "aceitável", definido pelas partes interessadas, que é atribuído a cada classe de ativo. Seguindo a análise do modelo de requisitos, um modelo de ameaça resulta em que as ameaças são listadas e os valores de risco são atribuídos. O modelo de ameaça concluído é usado para construir um modelo de risco com base no ativo, funções, ações e exposição ao risco calculada.


ISO / IEC 27005

O padrão 27005 ISO é um padrão internacional que trata especificamente do gerenciamento de risco no contexto da segurança de computador. Este método divide-se em 6 etapas: estabelecer o contexto, avaliar os riscos, lidar com o risco, aceitar o risco, comunicar o risco e depois monitorizar e reexaminar o risco.

Processo de modelagem de ameaças de computador geralmente aceito

Todos os processos de modelagem de ameaças de computador começam com a criação de uma representação visual do aplicativo e / ou da infraestrutura que está sendo analisada. O aplicativo / infraestrutura é dividido em diferentes elementos para facilitar a análise. Depois de concluída, a representação visual é usada para identificar e enumerar ameaças potenciais. Uma análise mais aprofundada do modelo no que diz respeito aos riscos associados às ameaças identificadas, a priorização das ameaças e a enumeração das medidas de mitigação apropriadas dependem da base metodológica do processo usado para o modelo de ameaças.

Representações visuais baseadas em diagramas de fluxo de dados

A metodologia Microsoft, PASTA e Trike desenvolve, cada uma, uma representação visual da infraestrutura do aplicativo usando Diagramas de Fluxo de Dados (DFDs). Os DFDs foram desenvolvidos pela primeira vez na década de 1970 como uma ferramenta para os engenheiros se comunicarem, em alto nível, sobre como um aplicativo circulava, era armazenado e manipulado pela infraestrutura em que estava sendo executado. Os DFDs usam apenas quatro símbolos exclusivos: fluxos de dados, dados lojas, processos e interações. No início dos anos 2000, um símbolo adicional, Limites de confiança, foi adicionado para permitir o uso de DFDs para modelagem de ameaças.

Depois que o sistema de infraestrutura do aplicativo é dividido em cinco componentes, os especialistas em segurança examinam cada ponto de entrada de ameaça identificado em relação a todas as categorias de ameaças conhecidas. Uma vez que as ameaças potenciais tenham sido identificadas, é possível listar as medidas de mitigação para controles de segurança ou realizar varreduras adicionais.

Representações visuais baseadas em diagramas de fluxo de processo

A metodologia VAST distingue modelos de ameaças de aplicativos (ATM) de modelos de ameaças operacionais ou de infraestrutura (OTM).

ATMs são construídos com diagramas de fluxo de processo. Esses diagramas foram desenvolvidos em 2011 como uma ferramenta para as equipes de desenvolvimento de software Agile criarem modelos de ameaças com base no processo de design de aplicativos.Os aplicativos são divididos em suas diferentes características ou casos de uso. Cada recurso é descrito em termos de widgets ou blocos de construção de código necessários para construir esse recurso. As funcionalidades são então conectadas por protocolos de comunicação. A visualização resultante é um mapa de como um usuário se move pelas diferentes características de um aplicativo.

OTMs são construídos com diagramas de fluxo de dados ponta a ponta muito semelhantes aos DFDs tradicionais. Os diagramas de fluxo de dados ponta a ponta dividem um sistema de computador em seus vários componentes independentes, agrupados e compartilhados.

Uma vez que o ATM ou OTM é construído, a metodologia especifica como as ameaças potenciais são identificadas, listadas, priorizadas e associadas aos seus riscos relevantes e mitigação dos controles de segurança.

Ferramentas de modelagem de ameaças

Atualmente, existem cinco ferramentas de modelagem de ameaças organizacionais:

Outros campos de aplicação

A modelagem de ameaças se aplica não apenas à TI, mas também a outras áreas, como automotiva, construção e automação residencial; neste contexto, modelam-se as ameaças à segurança e à privacidade, como informações sobre perfis de viagens, horários de trabalho e condições de saúde dos residentes, bem como ataques físicos ou à rede. Este último poderia usar elementos de construção cada vez mais inteligentes, sensores (por exemplo, para espionar o habitante) e atuadores (por exemplo, para destrancar portas) disponíveis.

Notas e referências

  1. Snyder, Window. , Modelagem de ameaças , Microsoft Press,2004( ISBN  0735619913 , OCLC  54974565 , leia online )
  2. Electronic Frontier Foundation, "  An Introduction to the Threat Model  ", Digital Self-Protection Against Surveillance ,1 r agosto 2014( leia online , consultado em 13 de junho de 2017 )
  3. (em) McMillan, Robert, "  " The World First Computer Password? It Was Too Useless "  " , Wired Business ,2012( leia online )
  4. Shostack, Adam (2014). "Modelagem de Ameaças: Projetando para Segurança" . John Wiley & Sons Inc: Indianapolis.
  5. Amoroso, Edward G (1994). "Fundamentos da Tecnologia de Segurança em Computadores" . AT&T Bell Labs. Prentice-Hall: Upper Saddle River.
  6. Schneier, Bruce; et al. (1998). "Rumo a uma metodologia de engenharia de sistema segura" (PDF). Agência de Segurança Nacional: Washington.
  7. "O modo de ameaça STRIDE" . Microsoft. 2016
  8. Alberts, Christopher (2003). "Introdução à abordagem OCTAVE®" (PDF). Instituto de Engenharia de Software, Carnegie Mellon: Pitsburg.
  9. Stillions, Ryan (2014). "O modelo DML" . Blog de segurança de Ryan Stillions . Ryan Stillions.
  10. Bromander, Siri (2016). "Modelagem Semântica de Ameaça Cibernética" (PDF). Tecnologia Semântica para Inteligência, Defesa e Segurança (STIDS 2016).
  11. Kohnfelder, Loren; Garg, Praerit. "Ameaças aos nossos produtos" . Microsoft. Recuperado em 20 de setembro de 2016.
  12. Ucedavélez, Tony e Marco M. Morana (2015). "Modelagem de Ameaças Centradas em Riscos: Processo para Simulação de Ataques e Análise de Ameaças ". John Wiley & Sons: Hobekin.
  13. Eddington, Michael, Brenda Larcom e Eleanor Saitta (2005). "Documento de Metodologia Trike v1" . Octotrike.org .
  14. Agarwal, Anurag "Archie" (2016). "Modelagem de Ameaças de Aplicativos vs. Modelagem de Ameaças Operacionais" . ThreatModeler.com .
  15. "O que há de novo na ferramenta de modelagem de ameaças da Microsoft 2016" . Blog seguro da Microsoft . Microsoft. 2015
  16. "Ferramenta de gerenciamento de risco Irius" . Segurança contínua. 2016
  17. "  foreseeti - securiCAD  " , em foreseeti.com (acessado em 27 de novembro de 2018 )
  18. "Modelagem de ameaças cibernéticas e gerenciamento de riscos - securiCAD by foreseeti" . foreseeti.
  19. "Elementos SD por bússola de segurança" . www.securitycompass.com . Recuperado em 24-03-2017.
  20. http://publications.lib.chalmers.se/records/fulltext/252083/local_252083.pdf
  21. "  Avaliando seu nível de risco  " , em ssd.eff.org (acessado em 27 de novembro de 2018 )
  22. https://www.djan-gicquel.fr/IMG/pdf/modele_menaces.pdf "Introdução aos modelos de ameaça", DJAN Gicquel (acessado em 27 de novembro de 2018)
  23. Meyer, D.; Haase, J.; Eckert, M.; Klauer, B. (01/07/2016). "Um modelo de ameaça para edifícios e automação residencial". 2016