Skip to content
Cyber Security
 / 
Ameaças

AMEAÇAS

Desenvolvendo um perfil de ameaça – Entenda quem pode estar interessado em seus dados

ATOR DE AMEAÇA
MOTIVAÇÃO
Estados da nação
Inteligência competitiva
Crime organizado
Espionagem cibernética
Hackers solitários
Ganho financeiro
Hacktivistas
Impacto reputacional
Competidores
Competitors
Ex-funcionários
Construção da reputação
Interno
Externo

Elaboração de um perfil de ameaça

Métodos de modelagem de ameaças são usados para criar::
  • Uma abstração de sistema
  • Um perfil de possíveis invasores, incluindo seus objetivos e métodos
  • Um catálogo de ameaças potenciais que podem surgir
AMEAÇA
PROPRIEDADE VIOLADA
DEFINIÇÃO DE AMEAÇA
Falsificação de identidade
Autenticação
Fingir ser algo ou alguém diferente de você mesmo
Adulteração de dados
Integridade
Modificando algo no disco, rede, memória ou em outro lugar
Repúdio
Assentimento de repúdio
Afirmar que você não fez algo ou não foi responsável pode ser honesto ou falso
Divulgação de informação
Confidencialidade
Fornecer informações a alguém não autorizado a acessá-las
Negação de serviço
Disponibilidade
Esgotar os recursos necessários para fornecer o serviço
Elevação de privilégio
Autorização
Permitir que alguém faça algo que não está autorizado a fazer

Identificando ativos e perfil de ameaça

Como sabemos se o cliente necessita deste serviço?
Avaliação e estratégia do programa de segurança
  • Ausência de pessoal de segurança dedicado
  • Os riscos de segurança não estão documentados
  • A relação entre os objetivos de negócios e de segurança não é claramente compreendida
  • As necessidades futuras de segurança não estão documentadas
  • Tomada de decisão inconsistente em relação à segurança
  • Procedimentos de gerenciamento de riscos de segurança não documentados
Documentos e análises de requisitos de segurança
  • Os requisitos de segurança do aplicativo ou do sistema não estão documentados
  • A análise de ameaças não é usada consistentemente como parte do ciclo de vida de desenvolvimento
  • Um procedimento não está documentado para aplicar padrões de segurança a aplicativos ou sistemas
  • A postura de segurança desejada/exigida de um sistema não está documentada
Avaliação do ciclo de vida do desenvolvimento de segurança
  • Os requisitos de segurança do aplicativo ou do sistema não estão documentados
  • O processo de gerenciamento de riscos de segurança não é padronizado
  • As práticas de segurança não estão integradas a projetos, lançamentos, mudanças ou processos de operações de TI
  • Segurança As tecnologias SAST, DAST, RAST, IAS não estão implementadas
Política de segurança e desenvolvimento e revisão de padrões
  • Políticas e padrões de segurança não estão documentados
  • A documentação de segurança não é revisada há mais de 12 meses
  • Não existe um cronograma de revisão de documentação
  • Não existe uma metodologia para definir políticas e padrões relacionados às necessidades de negócios
Teste de penetração de segurança
  • Um teste de penetração não é exigido por algum órgão regulador
  • Um teste de penetração do bot foi realizado há mais de um ano
  • Os testes de penetração não são necessários como parte da fase de testes do SDLC para sistemas críticos e altamente sensíveis
  • Não existem práticas para garantir que os requisitos de segurança sejam implementados conforme projetado (rastreabilidade)

Pilha de tecnologia de segurança - A defesa em profundidade e os níveis de segurança em camadas podem ser complexos e caros

Considerações sobre tecnologia de segurança
  • Tenho vários fornecedores fornecendo os mesmos recursos?
  • Estou construindo uma defesa de segurança profunda?
  • Os provedores de soluções estão ouvindo minhas necessidades/requisitos?
Categorias de tecnologia de segurança: exemplos
  • Software de endpoint ou antivírus
  • Segurança de e-mail na nuvem ou proteção avançada contra ameaças
  • Autenticação e segurança de senha
  • Biometria
  • Criptografia
  • Firewalls (hardware ou software)
  • Sistemas de detecção de intrusão (IDS)
  • Registro e auditoria
  • Autenticação multifator
  • Verificadores de vulnerabilidade
  • Treinamento de conscientização sobre segurança
  • Rede privada virtual (VPN)
  • Sistemas de proteção contra intrusão (IPS)

Estratégia de Segurança Cibernética: Modelos de Serviço​

ESTÁGIOS DA ESTRATÉGIA DE SEGURANÇA CIBERNÉTICA​

E1

Nível mínimo de segurança
  • Recomendações
  • Aplicação
  • Infraestrutura
  • Monitoramento
  • Acessos rápidos
  • Revisão técnica

E2

Segurança Preventiva
  • Escritório de segurança no local
  • Indicadores de segurança
  • Diagnóstico de vulnerabilidade
  • Conformidade
  • Leis de proteção de dados
  • PIA (Análise de Impacto na Privacidade)

E3

Segurança Ativa
  • Monitoramento (SOC)
  • Proteção de perímetro
  • Proteção em aplicativos e banco de dados
  • Proteção de contas privilegiadas
  • Detecção de incidentes de segurança

E4

Segurança Proativa
  • Caça a ameaças
  • Inteligência de ameaças
  • Resposta a incidentes

Soluções relacionadas