A modelagem de ameaças e uma responsabilidade fundamental de qualquer equipe de segurança cibernética que busca proteger os ativos de uma organização. Ela foi projetada para ajudar essas equipes a encontrar e identificar proativamente riscos e ameaças potenciais, trabalhando em cenários, modelos de resposta e outras formas de detecção de ameaças.
No entanto, a modelagem de ameaças continua a evoluir à medida que as ameaças se desenvolvem. Neste artigo, veremos como começar a aproveitar os modelos de ameaças, quais equívocos ignorar e como encontrar a estrutura certa para defender adequadamente sua organização.
- O que é modelagem de ameaças?
- O processo de modelagem de ameaças
- Equívocos e erros comuns na modelagem de ameaças
- Escolhendo uma estrutura ou método de modelagem de ameaças
- Modelagem de ameaças com a Varonis
- Perguntas frequentes sobre modelagem de ameaças
O que é modelagem de ameaças?
A modelagem de ameaças é o processo geral de avaliação de riscos, ameaças e vulnerabilidades, identificando a probabilidade dessas ameaças comprometerem uma organização e avaliando a capacidade de prevenção e resposta. Ela também ajuda as empresas a se prepararem proativamente contra cenários que as colocariam em uma situação comprometida, como quando uma organização é vítima de um ataque malicioso — phishing, ransomware ou ataque MitM.
No entanto, uma modelagem de ameaças eficaz expande o escopo do que é possível e para o que uma organização pode estar preparada. Por exemplo, quando uma organização contrata um grande fornecedor ou parceiro, como um provedor de infraestrutura de banco de dados, há um risco que precisa ser considerado e estar preparado.
Isso também se aplica quando uma organização estiver implantando algo público, como um novo site ou uma atualização importante em seu aplicativo. Compreender como estes cenários podem levar a um potencial risco e saber como responder de forma eficaz é fundamental.
O processo de modelagem de ameaças
O processo de modelagem de ameaças, tradicionalmente, segue quatro etapas básicas:
Planejamento: o que estamos construindo?
Esta é uma etapa crucial na qual é construída a estrutura que abrange o modelo de ameaça. É aqui que os aplicativos, a arquitetura, os fluxos de dados, a classificação de dados, os ativos e os stakeholders envolvidos, como departamentos, parceiros e até clientes, são definidos.
Ao conversar com todas as partes envolvidas e compreender cada caso de uso, componentes, permissões, usuários, pontos de acesso e ativos significativos relevantes, você pode avançar para a próxima etapa.
Identificação: o que pode dar errado?
Esta etapa começa identificando e classificando os tipos de ameaças às quais a empresa pode estar exposta ou em risco com base nas etapas anteriores. É por isso que ser o mais detalhado possível é importante, porque é preciso ter o escopo completo de toda a superfície de ataque.
A partir daí, cenários de ataque devem ser analisados — seja um ataque de ransomware, exfiltração de dados, injeção de SQL ou qualquer outra coisa. Saber o quão críticos são seus ativos e onde está o ponto de falha ajuda a entender quais ataques colocam sua empresa em maior risco.
Prevenção/Mitigação: o que estamos fazendo para nos defender contra ameaças?
Isso leva ao exercício de construção de cenário mais profundo, onde a equipe de segurança cibernética identifica quais tecnologias, planos de resposta a incidentes, controles, ferramentas de mitigação de ameaças e riscos e processos necessários para prevenir ou reduzir danos em caso de comprometimento ou ataque bem-sucedido.
Entenda que pode haver muita sobreposição aqui — você não deve ter um conjunto individual de ferramentas e tecnologia para cada tipo de ataque e cenário. Em vez disso, deve-se aproveitar ferramentas, sistemas, controles e processos que protejam e defendem a organização de forma holística.
Validação/Correção: como agimos nas etapas anteriores?
A etapa anterior deve revelar quaisquer lacunas que deixem a organização ou os dados inseguros e vulneráveis. Retornar a esta etapa regularmente permite um melhor entendimento sobre quais mudanças exigem que processos, ferramentas, sistema ou abordagem devem ser atualizados.
Já a etapa de validação/correção é contínua — à medida que as ameaças mudam e evoluem, sua organização muda, o modelo de ameaças também muda. Por isso, retornar a esta etapa regularmente permite entender melhor quais mudanças exigem atualizações em processos, ferramentas, sistemas ou abordagem.
Equívocos e erros comuns na modelagem de ameaças
A modelagem de ameaças é uma das tarefas de segurança mais complexas, levando a equívocos e erros que podem prejudicar o processo geral. Aqui estão alguns que valem a pena revisar:
Pensar que testes de penetração, treinamento de conscientização sobre segurança e revisões de código são suficientes
A modelagem de ameaças abrange ameaças e cenários de forma muito mais holística do que algo como um teste de penetração ou treinamento de conscientização de segurança. Claro, esses ainda são processos eficazes que alertam sobre lacunas e vulnerabilidades, mas a modelagem de ameaças é muito mais eficaz em fornecer uma compreensão de toda a empresa, sobre se ela está ou não preparada para enfrentar os mais diferentes riscos, ao mesmo tempo em que fornece proatividade mais aplicável.
Esperar até que seu departamento cresça e se torne mais maduro
A modelagem de ameaças é complicada, mas não tanto que deve ser adiada. Começar gradualmente e até mesmo trabalhar em algumas etapas básicas de modelagem é um bom começo e pode revelar alguns pontos cegos importantes.
Dessa forma, é possível criar check-ins regulares para desenvolver sua modelagem de ameaças, amadurecê-la e torná-la mais eficaz à medida que o departamento cresce e aumenta seus recursos e disponibilidade.
A modelagem de ameaças não é necessária antes de qualquer implantação importante
Lançar um novo código, um novo produto ou uma grande atualização sem primeiro modelar ameaças pode ser extremamente arriscado. Você não apenas está se permitindo implantar algo que é potencialmente vulnerável, mas também não sabe a extensão da ameaça ou do risco.
A modelagem de ameaças é melhor aplicada neste cenário, garantindo que não haja vulnerabilidades fáceis de explorar, ao mesmo tempo em que fornece informações detalhadas necessárias para ser proativo caso exista um comprometimento ou incidente de segurança.
Escolhendo uma estrutura ou método de modelagem de ameaças
Há uma variedade de modelos e estruturas de ameaças disponíveis, cada um deles com diferentes aplicações e níveis de complexidade. Alguns fornecedores, parceiros ou ferramentas também fornecem soluções ou softwares que ajudam a realizar o processo de modelagem de ameaças.
Algumas dessas estruturas também podem ser combinadas ou aproveitadas em conjunto com outras estruturas de risco, especialmente se o seu modelo de ameaça incorporar vários tipos de superfícies de ataque e vetores de risco. Um blog útil da CMU detalha 12 modelos de ameaças diferentes que podem ser usados e detalha o cenário que determina quando cada um deles deve ser utilizado.
Em geral, há vários fatores-chave que devem ser considerados ao adotar uma estrutura ou método, ou modelo de ameaça:
- Setor de atuação (ameaças e riscos associados)
- Tamanho do setor de segurança cibernética
- Composição da empresa e partes interessadas
- Recursos disponíveis
- Modelo de risco e apetite
- Razão para modelagem de ameaças
- O que está envolvido (funcionários, dispositivos, implantação de código, terceiros…)
- Modelos de ameaças disponíveis (oferecido por um parceiro ou fornecedor)
À medida que a organização embarca na modelagem de ameaças, essas considerações irão ajudar a identificar alguns detalhes importantes, como ativos em risco e possíveis invasores, restringindo o tipo de estrutura que deve ser usado.
Modelagem de ameaças com a Varonis
É comum que as organizações trabalhem com parceiros e fornecedores para ajudar no processo de modelagem de ameaças. A Varonis auxilia as empresas trabalhando para aplicar a estrutura correta no modelo de ameaças, dependendo das necessidades da organização e dos projetos futuros.
O laboratório de pesquisa da Varonis desenvolve continuamente novos modelos de ameaças para identificar vulnerabilidades, ameaças e riscos assim que surgem, fornecendo às empresas a capacidade de desenvolver novas formas de prevenir, proteger e responder a qualquer incidente.
Com a Varonis, você pode encontrar o modelo de ameaça certo e ter um parceiro experiente que não só irá alertá-lo sobre os tipos de ameaças às quais a empresa está exposta, mas também irá fornecer uma estrutura e um plano de ação para manter a organização segura.
Para ver como é trabalhar com a Varonis para deixar sua organização segura, confira nossa solução de proteção de dados e obtenha uma avaliação gratuita de risco de dados.
Perguntas frequentes sobre modelagem de ameaças
Uma rápida olhada nas respostas às perguntas comuns que as pessoas têm sobre modelagem de ameaças
P: Qual o processo de modelagem de ameaças?
R: A modelagem de ameaças é um procedimento implementado para identificar ameaças e vulnerabilidades em segurança de dados e priorizar contramedidas para responder a ameaças potenciais.
P: O que é um exemplo de modelo de ameaças?
R: Um exemplo de modelo de ameaça envolveria um modelo ou lista de verificação que é a base para um diagrama de fluxo de processo que ajuda a visualizar ameaças potenciais da perspectiva das interações do usuário.
P: Como a modelagem de ameaças varia em relação a uma árvore de ataque?
R: As árvores de ataque são representações gráficas das vulnerabilidades de um sistema e podem ser usadas como um componente para a modelagem de ameaças.
O que devo fazer agora?
Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:
Agende uma demonstração conosco: Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.
Veja um exemplo do nosso Relatório de Risco de Dados: Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.
Siga-nos no LinkedIn, YouTube e X (Twitter): Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.