Etapa 2 – Falha
Na fase de falha, você usa o diagrama de fluxo de dados para encontrar possíveis ameaças contra o sistema. O processo usa uma estrutura de modelagem de ameaças para ajudar você a encontrar as ameaças mais comuns e maneiras de proteger-se contra elas.
Metas
- Escolha entre as abordagens focadas em proteger o sistema e reconhecimento do invasor
- Use a estrutura STRIDE para identificar ameaças comuns
Importante
Se não realizar essa fase, você não encontrará ameaças em potencial no sistema, o que poderá levar a violações futuras.
Definir o foco da abordagem
Comece escolhendo se deseja encontrar maneiras de proteger seu sistema ou se deseja entender tudo o que puder sobre um invasor e as motivações dele. Os exemplos incluem:
Foco | Exemplo do que você pode encontrar |
---|---|
Sistema | Você encontra um problema com uma conexão não criptografada entre o usuário e o sistema. |
Invasor | Você descobre mais sobre os meios, a motivação e as maneiras de proteger os pontos de entrada do sistema. |
Ativo | Você identifica os ativos críticos com base em itens como o tratamento de dados confidenciais e se concentra principalmente na proteção desses ativos. |
Observação
Os engenheiros de produto da Microsoft se concentram principalmente em proteger o sistema. As equipes de teste de penetração se concentram em ambas as abordagens.
Selecionar uma estrutura de ameaças
Selecione uma estrutura para ajudar a gerar possíveis ameaças no sistema. A Microsoft tradicionalmente usa STRIDE, um acrônimo para as seis principais categorias de ameaças, para fornecer uma lista extensa, mas não exaustiva, de ameaças.
A estrutura ajuda você a fazer algumas perguntas importantes sobre o seu sistema:
Ameaça | Definição | Pergunta | Exemplo de ameaça |
---|---|---|---|
Falsificação | O invasor finge ser outra pessoa ou outra coisa | Os dois lados da comunicação são autenticados? | Enviar um email para os usuários de uma conta que pareça legítima com links e anexos mal-intencionados para capturar suas credenciais, seus dados e o acesso ao dispositivo |
Adulteração | O invasor altera os dados sem autorização | Como saber se alguém não pode alterar dados em trânsito, em uso ou em repouso? | Modificar a memória por meio de processamento fraco da chamada à API para causar falhas e a divulgação de mensagens de erro confidenciais |
Repúdio | O invasor alega não ter feito algo | Todas as ações podem ser vinculadas a uma identidade? | Alegar não ter excluído registros de banco de dados |
Divulgação de informações confidenciais | O invasor vê dados que não deveria ver | Como saber se alguém não pode ver dados em trânsito, em uso ou em repouso? | Acessar documentos e pastas não autorizados com controles de segurança fracos |
Negação de Serviço | O invasor coloca desativa seu sistema | Há áreas no sistema em que o recurso é limitado? | Inundar a rede com solicitações |
Elevação de privilégio | O invasor tem acesso não autorizado aos dados | Como posso saber se alguém tem permissão para executar esta ação? | Extrair dados explorando pontos fracos na lógica de tratamento de entrada ou na memória |