Recomendações para análise de ameaças
Aplica-se a esta recomendação de lista de verificação de Segurança do Azure Well-Architected Framework:
| SE:02 | Estabeleça uma linha de base de segurança alinhada aos requisitos de conformidade, aos padrões do setor e às recomendações da plataforma. Medir regularmente sua arquitetura e operações de carga de trabalho em relação à linha de base para sustentar ou melhorar sua postura de segurança ao longo do tempo. |
|---|
Guia relacionado: Recomendações para proteger um ciclo de vida de desenvolvimento
Uma análise abrangente para identificar ameaças, ataques, vulnerabilidades e medidas de contador é crucial durante a fase de design de uma carga de trabalho. A modelagem de ameaças é um exercício de engenharia que inclui a definição de requisitos de segurança, a identificação e a mitigação de ameaças e a validação dessas mitigações. Você pode usar essa técnica em qualquer estágio de desenvolvimento ou produção de aplicativos, mas ela é mais eficaz durante os estágios de design da nova funcionalidade.
Este guia descreve as recomendações para fazer modelagem de ameaças para que você possa identificar lacunas de segurança rapidamente e projetar suas defesas de segurança.
Definições
| Termo | Definição |
|---|---|
| SDLC (ciclo de vida de desenvolvimento de software) | Um processo sistemático de vários estágios para o desenvolvimento de sistemas de software. |
| PASSO | Uma taxonomia definida pela Microsoft para categorizar tipos de ameaças. |
| Modelagem de ameaças | Um processo para identificar possíveis vulnerabilidades de segurança no aplicativo e no sistema, atenuar riscos e validar controles de segurança. |
Principais estratégias de design
A modelagem de ameaças é um processo crucial que uma organização deve integrar em seu SDLC. A modelagem de ameaças não é apenas uma tarefa do desenvolvedor. É uma responsabilidade compartilhada entre:
- A equipe de carga de trabalho, responsável pelos aspectos técnicos do sistema.
- Stakeholders de negócios, que entendem os resultados dos negócios e têm um interesse investido em segurança.
Geralmente, há uma desconexão entre a liderança organizacional e as equipes técnicas em relação aos requisitos de negócios para cargas de trabalho críticas. Essa desconexão pode levar a resultados indesejados, especialmente para investimentos em segurança.
Quando a equipe de carga de trabalho está fazendo um exercício de modelagem de ameaças, ela deve considerar os requisitos técnicos e de negócios. A equipe de carga de trabalho e os stakeholders de negócios devem concordar com as necessidades específicas de segurança da carga de trabalho para que possam fazer investimentos adequados nas contramedidas.
Os requisitos de segurança servem como guia para todo o processo de modelagem de ameaças. Para torná-lo um exercício eficaz, a equipe de carga de trabalho deve ter uma mentalidade de segurança e ser treinada em ferramentas de modelagem de ameaças.
Entender o escopo do exercício
Uma compreensão clara do escopo é crucial para a modelagem eficaz de ameaças. Ele ajuda a concentrar esforços e recursos nas áreas mais críticas. Essa estratégia envolve definir os limites do sistema, fazer inventário dos ativos que precisam ser protegidos e entender o nível de investimento necessário nos controles de segurança.
Coletar informações sobre cada componente
Um diagrama de arquitetura de carga de trabalho é um ponto de partida para coletar informações porque fornece uma representação visual do sistema. O diagrama realça as dimensões técnicas do sistema. Por exemplo, ele mostra fluxos do usuário, como os dados se movem pela rede, níveis de confidencialidade de dados e tipos de informações e caminhos de acesso à identidade.
Essa análise detalhada geralmente pode fornecer insights sobre possíveis vulnerabilidades no design. É importante entender a funcionalidade de cada componente e suas dependências.
Avaliar as possíveis ameaças
Analise cada componente de uma perspectiva externa. Por exemplo, com que facilidade um invasor pode obter acesso a dados confidenciais? Se os invasores obtiverem acesso ao ambiente, eles poderão se mover lateralmente e potencialmente acessar ou até mesmo manipular outros recursos? Essas perguntas ajudam você a entender como um invasor pode explorar ativos de carga de trabalho.
Classificar as ameaças usando uma metodologia do setor
Uma metodologia para classificar ameaças é STRIDE, que o Ciclo de Vida de Desenvolvimento de Segurança da Microsoft usa. Classificar ameaças ajuda você a entender a natureza de cada ameaça e usar controles de segurança apropriados.
Atenuar as ameaças
Documente todas as ameaças identificadas. Para cada ameaça, defina controles de segurança e a resposta a um ataque se esses controles falharem. Defina um processo e linha do tempo que minimizem a exposição a quaisquer vulnerabilidades identificadas na carga de trabalho, para que essas vulnerabilidades não possam ser deixadas sem resposta.
Use a abordagem de violação pressupor . Ele pode ajudar a identificar os controles necessários no design para mitigar o risco se um controle de segurança primário falhar. Avalie a probabilidade do controle primário falhar. Se falhar, qual é a extensão do risco organizacional potencial? Além disso, qual é a eficácia do controle de compensação? Com base na avaliação, aplique medidas de defesa detalhadas para resolver possíveis falhas de controles de segurança.
Veja um exemplo:
| Faça esta pergunta | Para determinar os controles que... |
|---|---|
| São conexões autenticadas por meio de Microsoft Entra ID, TLS (Transport Layer Security) com autenticação mútua ou outro protocolo de segurança moderno aprovado pela equipe de segurança: - Entre usuários e o aplicativo? - Entre os componentes e os serviços do aplicativo? |
Impedir o acesso não autorizado aos componentes e dados do aplicativo. |
| Você está limitando o acesso apenas a contas que precisam gravar ou modificar dados no aplicativo? | Impedir a violação ou alteração não autorizada de dados. |
| A atividade de aplicativo é registrada e alimentada em um sistema SIEM (gerenciamento de eventos e informações de segurança) por meio do Azure Monitor ou de uma solução semelhante? | Detecte e investigue os ataques rapidamente. |
| Os dados críticos são protegidos com criptografia que a equipe de segurança aprovou? | Evite a cópia não autorizada de dados inativos. |
| O tráfego de rede de entrada e saída é criptografado por meio do TLS? | Evite a cópia não autorizada de dados em trânsito. |
| O aplicativo está protegido contra ataques de DDoS (negação de serviço distribuído) por meio de serviços como a Proteção contra DDoS do Azure? | Detecte ataques criados para sobrecarregar o aplicativo e incapacitar seu uso. |
| O repositório de aplicativos armazena credenciais ou chaves para acessar outros aplicativos, bancos de dados ou serviços? | Identifique se um ataque pode usar seu aplicativo para atacar outros sistemas. |
| Os controles do aplicativo permitem que você atenda aos requisitos regulatórios? | Proteja os dados privados dos usuários e evite multas de conformidade. |
Acompanhar os resultados da modelagem de ameaças
É altamente recomendável que você use uma ferramenta de modelagem de ameaças. As ferramentas podem automatizar o processo de identificação de ameaças e produzir um relatório abrangente de todas as ameaças identificadas. Certifique-se de comunicar os resultados a todas as equipes interessadas.
Acompanhe os resultados como parte da lista de pendências da equipe de carga de trabalho para permitir a responsabilização em tempo hábil. Atribua tarefas a indivíduos responsáveis por atenuar um risco específico identificado pela modelagem de ameaças.
À medida que você adiciona novos recursos à solução, atualize o modelo de ameaça e integre-o ao processo de gerenciamento de código. Se você encontrar um problema de segurança, verifique se há um processo para fazer a triagem do problema com base na gravidade. O processo deve ajudá-lo a determinar quando e como corrigir o problema (por exemplo, no próximo ciclo de lançamento ou em uma versão mais rápida).
Revisar regularmente os requisitos de carga de trabalho comercialmente críticos
Reúna-se regularmente com patrocinadores executivos para definir requisitos. Essas revisões oferecem uma oportunidade para alinhar as expectativas e garantir a alocação de recursos operacionais para a iniciativa.
Facilitação do Azure
O Ciclo de Vida de Desenvolvimento de Segurança da Microsoft fornece uma ferramenta de modelagem de ameaças para ajudar no processo de modelagem de ameaças. Essa ferramenta está disponível sem custo adicional. Para obter mais informações, consulte a página Modelagem de Ameaças.
Exemplo
Este exemplo se baseia no ambiente de TI (Tecnologia da Informação) estabelecido na linha de base de segurança (SE:01). Essa abordagem fornece uma ampla compreensão do cenário de ameaças em diferentes cenários de TI.
Personas do ciclo de vida de desenvolvimento. Há muitas personas envolvidas em um ciclo de vida de desenvolvimento, incluindo desenvolvedores, testadores, usuários finais e administradores. Todos eles podem ser comprometidos e colocar seu ambiente em risco por meio de vulnerabilidades ou ameaças criadas intencionalmente.
Possíveis invasores. Os invasores consideram uma ampla variedade de ferramentas disponíveis facilmente para serem usadas a qualquer momento para explorar suas vulnerabilidades e iniciar um ataque.
Controles de segurança. Como parte da análise de ameaças, identifique os serviços de segurança do Azure a serem usados para proteger sua solução e quão eficazes são essas soluções.
Coleção de logs. Logs de recursos do Azure e alguns componentes locais podem ser enviados para o Azure Log Analytics para que você possa entender o comportamento da solução desenvolvida e tentar capturar vulnerabilidades iniciais.
Solução de SIEM (gerenciamento de eventos de informações de segurança). O Microsoft Sentinel pode ser adicionado mesmo em um estágio inicial da solução para que você possa criar algumas consultas de análise para mitigar ameaças e vulnerabilidades, antecipando seu ambiente de segurança quando você estiver em produção.
Microsoft Defender para Nuvem pode fazer algumas recomendações de segurança para melhorar a postura de segurança.
Links relacionados
Links da comunidade
O OWASP (Open Web Application Security Project) documentou uma abordagem de modelagem de ameaças para aplicativos.
Lista de verificação de segurança
Consulte o conjunto completo de recomendações.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de