Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais
Blog Segurança de Dados

O que é modelagem de ameaças e como escolher a estrutura certa

A modelagem de ameaças foi projetada para identificar proativamente riscos e ameaças cibernéticas potenciais 
Josue Ledesma
5 minuto de leitura
Ultima atualização 15 de Dezembro de 2023
Modelagem de ameaças 

Conteúdo

    A modelagem de ameaças e uma responsabilidade fundamental de qualquer equipe de segurança cibernética que busca proteger os ativos de uma organização. Ela foi projetada para ajudar essas equipes a encontrar e identificar proativamente riscos e ameaças potenciais, trabalhando em cenários, modelos de resposta e outras formas de detecção de ameaças. 

    No entanto, a modelagem de ameaças continua a evoluir à medida que as ameaças se desenvolvem. Neste artigo, veremos como começar a aproveitar os modelos de ameaças, quais equívocos ignorar e como encontrar a estrutura certa para defender adequadamente sua organização. 

    • O que é modelagem de ameaças? 
    • O processo de modelagem de ameaças 
    • Equívocos e erros comuns na modelagem de ameaças 
    • Escolhendo uma estrutura ou método de modelagem de ameaças 
    • Modelagem de ameaças com a Varonis 
    • Perguntas frequentes sobre modelagem de ameaças 

    O que é modelagem de ameaças?

    A modelagem de ameaças é o processo geral de avaliação de riscos, ameaças e vulnerabilidades, identificando a probabilidade dessas ameaças comprometerem uma organização e avaliando a capacidade de prevenção e resposta. Ela também ajuda as empresas a se prepararem proativamente contra cenários que as colocariam em uma situação comprometida, como quando uma organização é vítima de um ataque malicioso — phishing, ransomware ou ataque MitM. 

    No entanto, uma modelagem de ameaças eficaz expande o escopo do que é possível e para o que uma organização pode estar preparada. Por exemplo, quando uma organização contrata um grande fornecedor ou parceiro, como um provedor de infraestrutura de banco de dados, há um risco que precisa ser considerado e estar preparado. 

    Isso também se aplica quando uma organização estiver implantando algo público, como um novo site ou uma atualização importante em seu aplicativo. Compreender como estes cenários podem levar a um potencial risco e saber como responder de forma eficaz é fundamental. 

    O processo de modelagem de ameaças

    O processo de modelagem de ameaças, tradicionalmente, segue quatro etapas básicas: 

    Planejamento: o que estamos construindo?

    Esta é uma etapa crucial na qual é construída a estrutura que abrange o modelo de ameaça. É aqui que os aplicativos, a arquitetura, os fluxos de dados, a classificação de dados, os ativos e os stakeholders envolvidos, como departamentos, parceiros e até clientes, são definidos. 

    Ao conversar com todas as partes envolvidas e compreender cada caso de uso, componentes, permissões, usuários, pontos de acesso e ativos significativos relevantes, você pode avançar para a próxima etapa. 

    Identificação: o que pode dar errado?

    Esta etapa começa identificando e classificando os tipos de ameaças às quais a empresa pode estar exposta ou em risco com base nas etapas anteriores. É por isso que ser o mais detalhado possível é importante, porque é preciso ter o escopo completo de toda a superfície de ataque. 

    A partir daí, cenários de ataque devem ser analisados — seja um ataque de ransomware, exfiltração de dados, injeção de SQL ou qualquer outra coisa. Saber o quão críticos são seus ativos e onde está o ponto de falha ajuda a entender quais ataques colocam sua empresa em maior risco. 

    Prevenção/Mitigação: o que estamos fazendo para nos defender contra ameaças?

    Isso leva ao exercício de construção de cenário mais profundo, onde a equipe de segurança cibernética identifica quais tecnologias, planos de resposta a incidentes, controles, ferramentas de mitigação de ameaças e riscos e processos necessários para prevenir ou reduzir danos em caso de comprometimento ou ataque bem-sucedido. 

    Entenda que pode haver muita sobreposição aqui — você não deve ter um conjunto individual de ferramentas e tecnologia para cada tipo de ataque e cenário. Em vez disso, deve-se aproveitar ferramentas, sistemas, controles e processos que protejam e defendem a organização de forma holística. 

    Validação/Correção: como agimos nas etapas anteriores?

    A etapa anterior deve revelar quaisquer lacunas que deixem a organização ou os dados inseguros e vulneráveis. Retornar a esta etapa regularmente permite um melhor entendimento sobre quais mudanças exigem que processos, ferramentas, sistema ou abordagem devem ser atualizados. 

    Já a etapa de validação/correção é contínua — à medida que as ameaças mudam e evoluem, sua organização muda, o modelo de ameaças também muda. Por isso, retornar a esta etapa regularmente permite entender melhor quais mudanças exigem atualizações em processos, ferramentas, sistemas ou abordagem. 

    Equívocos e erros comuns na modelagem de ameaças

    A modelagem de ameaças é uma das tarefas de segurança mais complexas, levando a equívocos e erros que podem prejudicar o processo geral. Aqui estão alguns que valem a pena revisar: 

    Pensar que testes de penetração, treinamento de conscientização sobre segurança e revisões de código são suficientes

    A modelagem de ameaças abrange ameaças e cenários de forma muito mais holística do que algo como um teste de penetração ou treinamento de conscientização de segurança. Claro, esses ainda são processos eficazes que alertam sobre lacunas e vulnerabilidades, mas a modelagem de ameaças é muito mais eficaz em fornecer uma compreensão de toda a empresa, sobre se ela está ou não preparada para enfrentar os mais diferentes riscos, ao mesmo tempo em que fornece proatividade mais aplicável. 

    Esperar até que seu departamento cresça e se torne mais maduro

    A modelagem de ameaças é complicada, mas não tanto que deve ser adiada. Começar gradualmente e até mesmo trabalhar em algumas etapas básicas de modelagem é um bom começo e pode revelar alguns pontos cegos importantes. 

    Dessa forma, é possível criar check-ins regulares para desenvolver sua modelagem de ameaças, amadurecê-la e torná-la mais eficaz à medida que o departamento cresce e aumenta seus recursos e disponibilidade. 

    A modelagem de ameaças não é necessária antes de qualquer implantação importante

    Lançar um novo código, um novo produto ou uma grande atualização sem primeiro modelar ameaças pode ser extremamente arriscado. Você não apenas está se permitindo implantar algo que é potencialmente vulnerável, mas também não sabe a extensão da ameaça ou do risco. 

    A modelagem de ameaças é melhor aplicada neste cenário, garantindo que não haja vulnerabilidades fáceis de explorar, ao mesmo tempo em que fornece informações detalhadas necessárias para ser proativo caso exista um comprometimento ou incidente de segurança. 

    Escolhendo uma estrutura ou método de modelagem de ameaças

    Há uma variedade de modelos e estruturas de ameaças disponíveis, cada um deles com diferentes aplicações e níveis de complexidade. Alguns fornecedores, parceiros ou ferramentas também fornecem soluções ou softwares que ajudam a realizar o processo de modelagem de ameaças. 

    Algumas dessas estruturas também podem ser combinadas ou aproveitadas em conjunto com outras estruturas de risco, especialmente se o seu modelo de ameaça incorporar vários tipos de superfícies de ataque e vetores de risco. Um blog útil da CMU detalha 12 modelos de ameaças diferentes que podem ser usados e detalha o cenário que determina quando cada um deles deve ser utilizado. 

    Em geral, há vários fatores-chave que devem ser considerados ao adotar uma estrutura ou método, ou modelo de ameaça: 

    • Setor de atuação (ameaças e riscos associados) 
    • Tamanho do setor de segurança cibernética 
    • Composição da empresa e partes interessadas 
    • Recursos disponíveis 
    • Modelo de risco e apetite 
    • Razão para modelagem de ameaças 
    • O que está envolvido (funcionários, dispositivos, implantação de código, terceiros…) 
    • Modelos de ameaças disponíveis (oferecido por um parceiro ou fornecedor) 

    À medida que a organização embarca na modelagem de ameaças, essas considerações irão ajudar a identificar alguns detalhes importantes, como ativos em risco e possíveis invasores, restringindo o tipo de estrutura que deve ser usado. 

    Modelagem de ameaças com a Varonis

    É comum que as organizações trabalhem com parceiros e fornecedores para ajudar no processo de modelagem de ameaças. A Varonis auxilia as empresas trabalhando para aplicar a estrutura correta no modelo de ameaças, dependendo das necessidades da organização e dos projetos futuros. 

    O laboratório de pesquisa da Varonis desenvolve continuamente novos modelos de ameaças para identificar vulnerabilidades, ameaças e riscos assim que surgem, fornecendo às empresas a capacidade de desenvolver novas formas de prevenir, proteger e responder a qualquer incidente. 

    Com a Varonis, você pode encontrar o modelo de ameaça certo e ter um parceiro experiente que não só irá alertá-lo sobre os tipos de ameaças às quais a empresa está exposta, mas também irá fornecer uma estrutura e um plano de ação para manter a organização segura. 

    Para ver como é trabalhar com a Varonis para deixar sua organização segura, confira nossa solução de proteção de dados e obtenha uma avaliação gratuita de risco de dados. 

    Perguntas frequentes sobre modelagem de ameaças

    Uma rápida olhada nas respostas às perguntas comuns que as pessoas têm sobre modelagem de ameaças 

    P: Qual o processo de modelagem de ameaças?

    R: A modelagem de ameaças é um procedimento implementado para identificar ameaças e vulnerabilidades em segurança de dados e priorizar contramedidas para responder a ameaças potenciais. 

    P: O que é um exemplo de modelo de ameaças?

    R: Um exemplo de modelo de ameaça envolveria um modelo ou lista de verificação que é a base para um diagrama de fluxo de processo que ajuda a visualizar ameaças potenciais da perspectiva das interações do usuário. 

    P: Como a modelagem de ameaças varia em relação a uma árvore de ataque?

    R: As árvores de ataque são representações gráficas das vulnerabilidades de um sistema e podem ser usadas como um componente para a modelagem de ameaças. 

     

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Josue Ledesma
    Josue Ledesma

    Josue Ledesma é escritor, cineasta e profissional de marketing de conteúdo e mora na cidade de Nova York. Ele escreve sobre segurança da informação, tecnologia e finanças, privacidade do consumidor e marketing digital B2B. Você pode ver seu portfólio de textos em https://josueledesma.com/Writing-Portfolio

    Try Varonis free.
    Get a detailed data risk report based on your company’s data.
    Deploys in minutes.
    Get started View sample
    Keep reading
    por-trás-do-rebranding-da-varonis
    Por trás do rebranding da Varonis
    por-trás-do-rebranding-da-varonis
    Courtney Bernard
    20 de Fevereiro de 2024
    Descubra a estratégia por trás do rebranding da Varonis, que envolveu uma transição completa para um arquétipo de herói e a introdução do Protector 22814.
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    O que é uma avaliação de risco de dados e por que você deve fazer
    o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
    Lexi Croisdale
    12 de Janeiro de 2024
    A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
    dspm-x-cspm:-unindo-dados-e-segurança-na-nuvem-com-a-varonis
    DSPM x CSPM: unindo dados e segurança na nuvem com a Varonis
    dspm-x-cspm:-unindo-dados-e-segurança-na-nuvem-com-a-varonis
    Nathan Coppinger
    3 de Janeiro de 2024
    Soluções DSPM e CSPM são fundamentais para que as organizações garantam que sua infraestrutura na nuvem e dados estejam seguros 
    certificação-do-modelo-de-maturação-da-segurança-cibernética-2.0-(cmmc-2.0)
    Certificação do modelo de maturação da segurança cibernética 2.0 (CMMC 2.0)
    certificação-do-modelo-de-maturação-da-segurança-cibernética-2.0-(cmmc-2.0)
    Shane Waterford
    27 de Dezembro de 2023
    O DoD está implementando o programa de Certificação do Modelo de Maturidade de Segurança Cibernética 2.0