AMEAÇAS
Desenvolvendo um perfil de ameaça – Entenda quem pode estar interessado em seus dados
| ATOR DE AMEAÇA | MOTIVAÇÃO |
|---|---|
| Estados da nação | Inteligência competitiva |
| Crime organizado | Espionagem cibernética |
| Hackers solitários | Ganho financeiro |
| Hacktivistas | Impacto reputacional |
| Competidores | Competitors |
| Ex-funcionários | Construção da reputação |
Interno
Externo
Elaboração de um perfil de ameaça
Métodos de modelagem de ameaças são usados para criar::
- Uma abstração de sistema
- Um perfil de possíveis invasores, incluindo seus objetivos e métodos
- Um catálogo de ameaças potenciais que podem surgir
| AMEAÇA | PROPRIEDADE VIOLADA | DEFINIÇÃO DE AMEAÇA |
|---|---|---|
| Falsificação de identidade | Autenticação | Fingir ser algo ou alguém diferente de você mesmo |
| Adulteração de dados | Integridade | Modificando algo no disco, rede, memória ou em outro lugar |
| Repúdio | Assentimento de repúdio | Afirmar que você não fez algo ou não foi responsável pode ser honesto ou falso |
| Divulgação de informação | Confidencialidade | Fornecer informações a alguém não autorizado a acessá-las |
| Negação de serviço | Disponibilidade | Esgotar os recursos necessários para fornecer o serviço |
| Elevação de privilégio | Autorização | Permitir que alguém faça algo que não está autorizado a fazer |
Identificando ativos e perfil de ameaça
Como sabemos se o cliente necessita deste serviço?
Avaliação e estratégia do programa de segurança
- Ausência de pessoal de segurança dedicado
- Os riscos de segurança não estão documentados
- A relação entre os objetivos de negócios e de segurança não é claramente compreendida
- As necessidades futuras de segurança não estão documentadas
- Tomada de decisão inconsistente em relação à segurança
- Procedimentos de gerenciamento de riscos de segurança não documentados
Documentos e análises de requisitos de segurança
- Os requisitos de segurança do aplicativo ou do sistema não estão documentados
- A análise de ameaças não é usada consistentemente como parte do ciclo de vida de desenvolvimento
- Um procedimento não está documentado para aplicar padrões de segurança a aplicativos ou sistemas
- A postura de segurança desejada/exigida de um sistema não está documentada
Avaliação do ciclo de vida do desenvolvimento de segurança
- Os requisitos de segurança do aplicativo ou do sistema não estão documentados
- O processo de gerenciamento de riscos de segurança não é padronizado
- As práticas de segurança não estão integradas a projetos, lançamentos, mudanças ou processos de operações de TI
- Segurança As tecnologias SAST, DAST, RAST, IAS não estão implementadas
Política de segurança e desenvolvimento e revisão de padrões
- Políticas e padrões de segurança não estão documentados
- A documentação de segurança não é revisada há mais de 12 meses
- Não existe um cronograma de revisão de documentação
- Não existe uma metodologia para definir políticas e padrões relacionados às necessidades de negócios
Teste de penetração de segurança
- Um teste de penetração não é exigido por algum órgão regulador
- Um teste de penetração do bot foi realizado há mais de um ano
- Os testes de penetração não são necessários como parte da fase de testes do SDLC para sistemas críticos e altamente sensíveis
- Não existem práticas para garantir que os requisitos de segurança sejam implementados conforme projetado (rastreabilidade)
Pilha de tecnologia de segurança – A defesa em profundidade e os níveis de segurança em camadas podem ser complexos e caros
Considerações sobre tecnologia de segurança
- Tenho vários fornecedores fornecendo os mesmos recursos?
- Estou construindo uma defesa de segurança profunda?
- Os provedores de soluções estão ouvindo minhas necessidades/requisitos?
Categorias de tecnologia de segurança: exemplos
- Software de endpoint ou antivírus
- Segurança de e-mail na nuvem ou proteção avançada contra ameaças
- Autenticação e segurança de senha
- Biometria
- Criptografia
- Firewalls (hardware ou software)
- Sistemas de detecção de intrusão (IDS)
- Registro e auditoria
- Autenticação multifator
- Verificadores de vulnerabilidade
- Treinamento de conscientização sobre segurança
- Rede privada virtual (VPN)
- Sistemas de proteção contra intrusão (IPS)
Estratégia de Segurança Cibernética: Modelos de Serviço
ESTÁGIOS DA ESTRATÉGIA DE SEGURANÇA CIBERNÉTICA
E1
Nível mínimo de segurança
- Recomendações
- Aplicação
- Infraestrutura
- Monitoramento
- Acessos rápidos
- Revisão técnica
E2
Segurança Preventiva
- Escritório de segurança no local
- Indicadores de segurança
- Diagnóstico de vulnerabilidade
- Conformidade
- Leis de proteção de dados
- PIA (Análise de Impacto na Privacidade)
E3
Segurança Ativa
- Monitoramento (SOC)
- Proteção de perímetro
- Proteção em aplicativos e banco de dados
- Proteção de contas privilegiadas
- Detecção de incidentes de segurança
E4
Segurança Proativa
- Caça a ameaças
- Inteligência de ameaças
- Resposta a incidentes