7 erros na modelagem de ameaças que você deve evitar

Adriano Martins Antonio

Adriano Martins Antonio

em 8 de abril de 2021
Modelagem de Ameaças

Fique ligado

​Entre para nossa lista e receba conteúdos exclusivos e com prioridade

7 erros mais comuns na modelagem de ameaças que você deve evitar. Veja a causa de cada um deles!

A modelagem de ameaças é um processo através do qual se busca identificar riscos e vulnerabilidades potenciais. Com isso, enumeram-se as ameaças e, em seguida, os processos de resolução passam a ser posto em ação.

Assim, a modelagem de ameaças funciona, basicamente, como medida de segurança para acabar com os riscos ao software. Contudo, alguns erros são muito comuns na construção deles. Para saber quais são e como evitar, continue lendo!

1- Utilizar a modelagem de ameaças na hora errada

Existe um momento certo para a construção da modelagem de ameaças. Ou seja, não é quando você bem entender que ela deve ser feita, mas sim quando ela realmente funciona, com planejamento.

Então, para potencializar ao máximo a redução de riscos e vulnerabilidades, o indicado é que você comece desde os estágios iniciais do projeto com ela. No entanto, infelizmente muitos negligenciam isto e pensam só no final.

Nestas situações de executá-la só ao final, ocorrem alguns problemas. Isto porque se você pensar somente no final do projeto, então a estratégia de mitigação não será mais tão eficaz e os custos tendem a ser muito mais elevados.

2- Acreditar que o modelo tem um fim

Homem fazendo palestra sobre modelagem de ameaças
A modelagem de ameaças não tem um fim e seus riscos são iminentes

Outro dos erros mais comuns é o de acreditar que a modelagem de ameaças realmente tem um fim. Assim, é comum que times de segurança pensem que já foram capazes de encontrar todos os riscos possíveis.

Contudo, em muitos casos isto acaba se mostrando falso. Então, para evitar problemas como este, o indicado é ter uma avaliação de riscos precisa e um backup preparado sempre que precisar atualizar seu sistema de modelagem.

3- Dispensar softwares para auxílio

Seguindo, é importante ter em mente que você e seu time de segurança não estão sozinhos na construção da modelagem de ameaças. Inclusive, a verdade se torna exatamente oposta, e há uma série de ferramentas que acabam sendo utilizadas.

Assim como em outras áreas da segurança da informação e de TI, existem softwares de automatização que auxiliam muito. Estas ferramentas têm uma arquitetura centralizada e que facilitam processos. Portanto, escolha a ideal para a sua empresa.

4- Subestimar as suas capacidades

Outro erro que é bastante comum quando se fala em modelagem de ameaças é o fato de equipes subestimarem as suas próprias capacidades. Isto é, por vezes os times de TI não se sentem confiantes e creem que não são capazes de construí-la.

No entanto, isto não é tão complexo quanto pode parecer, e um bom profissional de TI deve ser capaz de conseguir com sucesso. Por certo, um profissional experiente e treinado na segurança deve ser capaz de obter resultados melhores e mais rápidos, mas não é exclusivo.

5- Pensar somente como um attacker

Hacker usando laptop para acessar sistemas para proteger do attacker
Pensar de várias formas se torna importante para uma tática de segurança

Mais um dos erros que são comumente vistos na construção de sistemas de modelagem de ameaças é o de pensar apenas como um attacker. Pensar dessa forma é realmente importante, mas não é tudo.

Esta é uma ótima estratégia para a redução da sua superfície de ataque e ajuda a prever os movimentos de quem pode atacá-lo. No entanto, você deve se certificar de também implementar o básico da cibersegurança em diferentes formas de pensar e de distintas fontes, ou poderá ter problemas que sequer imaginava.

6- Foco excessivo na ameaça mais aparente

Pois bem, pode ser que exista uma ameaça mais aparente no seu sistema no momento, uma vulnerabilidade mais gritante. Porém, tenha em mente que focar apenas nela não é tudo que deve ser feito na modelagem de ameaças.

Isto porque se você estiver pensando sempre na “ameaça do dia”, pode se esquecer de antever as outras e de cuidar de mais fatores de risco. Então, o seu sistema vai acabar estando sempre vulnerável e os problemas sempre vão ser emergenciais.

7- Deixar o usuário de fora na modelagem de ameaças

Para finalizar, o último dos erros na modelagem de ameaças é o de focar excessivamente em como seu código pode ser atacado e esquecer outras formas pelas quais isto pode acontecer.

Por isso, você deve pensar também em como as ações do usuário podem impactar na segurança de TI. Portanto, esteja atento a fatores como os acessos e privilégios, ameaças potenciais ao acessar o sistema via nuvem ou via app, etc.

Leia também: Modelagem de ameaças é requisito indispensável à arquitetura de software.

Em resumo, estes são os 7 erros mais comuns de quem está trabalhando com modelagem de ameaças. Você está cometendo algum deles? Deixe nos comentários!

Também fique atento à nossa página de cursos e exames, para melhorar as suas habilidades na segurança da informação!

Por fim, já está sabendo da Jornada Segurança Cibernética? Um curso ao vivo, online e 100% gratuito, que ocorre entre os dias 30/08 e 03/09 preparatório para o exame da certificação EXIN Cyber & IT Security Foundation (CISEF). Mais do que apenas o conteúdo que a certificação engloba, você aprenderá os aspectos essenciais da segurança cibernética. Para se inscrever, clique aqui!

Compartilhar no facebook
Facebook
Compartilhar no google
Google+
Compartilhar no twitter
Twitter
Compartilhar no linkedin
LinkedIn

Artigos Relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *