Tempo de leitura: 9 minutos
Todo mundo quer criar um software seguro, mas isto não é simplesmente uma “Checklist” que você seleciona.
Existem vários fatores que podem causar vulnerabilidades. A modelagem de ameaças fornece um pouco de preparação que pode ajudá-lo a identificar pontos cegos na segurança de seu aplicativo.
Uma abordagem comum de modelagem de ameaças é a estrutura STRIDE, que tem seis áreas de foco:
Em Português:
- Spoofing
- Adulteração
- Repúdio
- Divulgação de informação
- Negação de serviço
- Elevação de Privilégio
Criado em 1999 por dois pesquisadores de segurança da Microsoft Praerit Garg e Loren Kohnfelder, o STRIDE continua sendo uma abordagem útil para detectar potencial problemas.
Vou resumir cada uma das seis áreas do STRIDE que você pode usar para limitar as ameaças de forma proativa enquanto constrói seus sistemas.
Spoofing
Ao fornecer acesso aos seus sistemas ou dados, você precisa autenticar todas as solicitações. A segurança de seus sistemas depende da confiança na identidade da outra parte. Uma ameaça a essa confiança é o spoofing – quando alguém afirma ser uma pessoa ou sistema que não é.
Existem muitos tipos de spoofing, desde a identidade falsa do adolescente até uma infiltração mais séria de sistemas de tecnologia. Uma das principais preocupações é a segurança da rede, já que muitos de nossos dispositivos conectados dependem da confiança na identidade de outros dispositivos. Nesses sistemas, senhas, chaves, tokens e assinaturas estão entre os métodos usados para autenticar. O nível de vulnerabilidade varia de acordo com o método.
Por exemplo, aqui estão alguns métodos de autenticação comuns para sistemas e o que seria necessário para falsificar uma solicitação:
- Chave única : muitas APIs usam uma única chave de API para autenticar solicitações para seu serviço. O valor é estático, embora possa normalmente ser excluído e gerado novamente em uma interface de usuário. Qualquer pessoa que obtiver a chave terá acesso aos sistemas que confiam nela indefinidamente.
- Token de acesso: semelhante à chave única, um token de acesso é um valor que autêntica uma solicitação. No entanto, o acesso é geralmente limitado de alguma forma, muitas vezes utilizável apenas por um curto período. Qualquer pessoa com um token de acesso teria uso mínimo antes de precisar de credenciais adicionais para gerar outro token.
- Assinaturas: em contraste com os outros dois métodos, a autenticação baseada em assinatura usa criptografia, que requer chaves privadas. Cada solicitação é assinada usando um segredo compartilhado que você pode verificar. Para falsificar uma assinatura, o invasor precisaria acessar a chave privada do remetente.
Esses são apenas alguns exemplos comuns de falsificação. O importante a considerar é qual mecanismo você está usando para comunicar a identidade e como você sabe que a identidade pode ser confiável.
Procure métodos para garantir que seus sistemas sejam seguros e não vulneráveis a ataques de spoofing.
Adulteração
Mesmo que você se sinta confiante em sua segurança de autenticação, a confiança deve se estender a todos os sistemas em que você tocar. Ao recuperar dados de um sistema, por exemplo, você deve ter certeza de que ele é confiável. Os dados são especialmente suscetíveis a ameaças de adulteração, mas máquinas físicas ou hardware também podem ser vulneráveis.
A maioria dos alimentos embalados disponíveis no supermercado contém um lacre ou outro método para determinar se foi alterado. Da mesma forma, existem métodos para prevenir e descobrir a violação de sistemas em rede.
Firewalls e armazenamento particionado estão entre as técnicas que você pode empregar para garantir que seus dados não sejam sobrescritos. Arquivos de log e notificações são métodos comuns para detectar dados adulterados.
Frequentemente, a violação de dados coincide com outras ameaças potenciais. Por exemplo, os dados podem ser alterados para falsificar o acesso ou a violação dos dados pode ser causada por privilégios elevados artificialmente. Além disso, a adulteração de dados pode cobrir os rastros de outras vulnerabilidades, como a substituição de arquivos de log que mostram como o sistema foi acessado.
Repúdio
Você não pode evitar tentativas de ameaças à segurança, mas pode implementar uma auditoria para detectar e rastrear essas atividades. Feito corretamente, você pode ter certeza de que esses esforços podem ser conectados à fonte da vulnerabilidade. Ameaças de repúdio visam sua auditoria e rastreamento, garantindo que o mau comportamento não possa ser comprovado.
Você já foi bloqueado em um sistema ao inserir repetidamente sua senha incorreta? Sem log desses erros, seria muito mais difícil impedir que invasores reais tentem usar força bruta. Por esse motivo, todos os eventos com importância de segurança devem ser registrados.
Os sistemas seguros devem incorporar mecanismos de não repúdio, de modo que a fonte de dados e os próprios dados possam ser confiáveis. Por esta razão, o repúdio está entrelaçado com outros elementos da estrutura STRIDE. Por exemplo, logs adulterados ou uma conta falsificada podem fazer com que o usuário negue qualquer transgressão.
Divulgação De Informação
Subjacente às ameaças à segurança mencionadas até agora está a exposição dos dados. Qualquer sistema que armazene ou acesse informações privadas pode divulgá-las acidentalmente. Existem vários métodos que podem ser usados para acessar dados privados. Essas divulgações podem afetar um único usuário, várias pessoas ou ser específicas para a própria empresa.
Violações de dados significativas foram manchetes nos últimos anos. Senhas, detalhes de pagamento e outros dados pessoais podem ser divulgações caras. No mínimo, os clientes devem ser notificados e os incidentes de alto perfil têm consequências estendidas. E neste momento que o Brazil está implementando a LGPD, isto seria mais serio ainda.
Junto com ameaças como spoofing, as divulgações podem ser causadas por backups e outros arquivos deixados em locais acessíveis, que podem incluir servidores, laptops ou unidades externas. Em outras circunstâncias, os dados privados podem ser expostos inadvertidamente devido a códigos com erros ou ataques, como estouro de buffer.
Negação De Serviço
Outra ameaça de segurança sempre nas notícias, uma negação de serviço torna um sistema inacessível, explorando recursos para que eles não possam ser usados para fins legítimos. Em rede, isso pode significar sobrecarregar um sistema com solicitações de entrada, tornando impossível para os usuários se conectarem.
Você deve considerar todas as áreas do seu sistema que podem estar sujeitas a uma ameaça de negação de serviço. Por exemplo, armazenamento e processamento podem ser áreas de preocupação. O impacto de uma negação de serviço pode aumentar quando combinado com outras ameaças à segurança, o que pode dar ao invasor acesso a recursos adicionais.
Elevação De Privilégio
A área final da estrutura STRIDE pode ser a mais ameaçadora. Onde a falsificação se concentra na autenticação, a elevação de privilégio está relacionada à autorização. Em outras palavras, o invasor não apenas alegou ser um usuário válido, mas também um usuário com uma função expandida.
Um ataque sofisticado de elevação de privilégio pode usar todas as outras áreas de STRIDE para um impacto especialmente desproporcional. Com acesso de administrador, o invasor pode adulterar sistemas. A falta de trilha de auditoria pode causar repúdio e divulgação de informações sem qualquer vestígio. É claro que, conforme mencionado na seção anterior, mais privilégios provavelmente se traduzem em mais recursos para uma negação de serviço.
Use STRIDE Em Seu Trabalho
Agora que você conhece as seis áreas a avaliar, coloque-o em prática. Ao iniciar novos projetos, considere de forma proativa como o STRIDE se aplica. Sozinho ou com sua equipe, avalie como cada área pode ser explorada e planeje as etapas para limitar cada ameaça.
Texto por Fouad Ata – Líder técnico
Fouad é libanês e desde 2012 vive no Brasil. Formado em Engenharia da Computação pela Universidade do Líbano, possui algumas das mais importantes certificações do mercado, tem mais de 20 anos de experiência em engenharia da computação, sendo 10 em multinacionais onde atendeu parte da Europa e Oriente Médio. Já trabalhou em sistemas de alta complexidade e hoje é o Líder do Time de Tecnologia da Infomach.
Disponibilizamos soluções como Firewall Fortinet e SonicWall, Segurança Endpoint e Antivírus Crowdstrike e Trellix, Backup Veeam para empresas em formato tradicional de aquisição e principalmente na modalidade de cibersegurança gerenciada.
Sua empresa paga um valor mensal e recebe hardware, software, monitoramento e acesso ilimitado a um time de especialistas de segurança. Clique no banner e receba uma proposta personalizada!
