apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation...
Transcript of apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation...
![Page 1: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/1.jpg)
Threat Modeling: comonão deixar segurança apenas para o final?
![Page 2: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/2.jpg)
Ruan Victor
ThoughtWorks: Consultor DesenvolvedorMade in: SalvadorTwitter: Ruanvictor_Mais sobre: ruanvictor.dev
![Page 3: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/3.jpg)
ThoughtWorks: Consultora DesenvolvedoraMade in: BrasíliaTwitter: ThaiiBragaMais sobre: thaiane.github.io
Thaiane Braga
![Page 4: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/4.jpg)
Por que falar disso?
![Page 5: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/5.jpg)
Impacto
![Page 6: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/6.jpg)
![Page 7: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/7.jpg)
![Page 8: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/8.jpg)
![Page 9: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/9.jpg)
Como geralmenteocorre nos projetos?
![Page 10: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/10.jpg)
Expectativa
![Page 11: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/11.jpg)
!( Responsabilidade compartilhada )
!( Conhecimento de SI aplicado no contexto )
!( Fomentação de conhecimento de SI )
Equipe separada
!( Priorização de negócio )
![Page 12: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/12.jpg)
Realidade
![Page 13: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/13.jpg)
Segurança preventiva !=
Apagar fogo
![Page 14: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/14.jpg)
14
![Page 15: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/15.jpg)
Threat Modeling: modelagem de ameaças
![Page 16: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/16.jpg)
16
Modelagem de Ameaças é...
... um processo pelo qual ameaças potenciais, como vulnerabilidades estruturais, podem ser identificadas, enumeradas e priorizadas - tudo do ponto de vista de um invasor hipotético. - Wikipedia
... trabalha para identificar, comunicar e entender ameaças e mitigações dentro do contexto de proteção de algo de valor. - OWASP
![Page 17: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/17.jpg)
17
Quem participa?PESSOAS DESENVOLVEDORAS- Visão técnica da aplicação- Incentiva desenvolvimento seguro- Fortalece conhecimento de
vulnerabilidades- Busca soluções técnicas e automatizadas
PESSOAS DA ÁREA DE NEGÓCIO- Contexto do negócio- Priorização do backlog- Identificação dos riscos- Melhora contínua do projeto
TIMES SEC, OPS, QA e outros- Responsabilidade compartilhada- Quebrar silos- Visões diferentes- Visão unificada das ameaças e
mitigações
CLIENTES- Transparência- Fortalece a confiança- Apoio na priorização- Responsabilidade e riscos
compartilhados
![Page 18: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/18.jpg)
Contextoexample
of graphic
example of graphic
Identificação
Mitigação
4 Questões
Contexto
1 - O que estamos construindo?
Identificação
2 - O que estamos fazendo errado?
Mitigação 3 - O que faremos sobre isso?
Priorização4 - Quando faremos?
![Page 19: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/19.jpg)
Contexto
- Entender a função da aplicação, o fluxo dos dados na aplicação, as informações manipuladas
- Use diagramas (arquitetura, sequência, componentes e/ou desenhos)
- Dica: definir tema principal e time-box
✓ Confidencialidade✓ Integridade✓ Disponibilidade✓ Autenticidade✓ Não repúdio
Esta etapa é destinada ao
entendimento da aplicação ou solução, qual o ser valor para o
negócio do cliente e qual o aspecto de segurança mais
importante.
![Page 20: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/20.jpg)
Identificação
Esta etapa é destinada a entender
aquilo que pode acontecer de ruim com a app, quem
pode causar isso e como pode causar
isso.
- Discuta com o time e liste os principais atores que podem nos atacar.
- Após identificar os possíveis atacantes discuta com o time e identifique de que forma elas podem concretizar os cenários definidos como nossos objetivos.
- Top 10 OWASP- STRIDE
![Page 21: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/21.jpg)
Ameaça PropriedadeViolada
Definição
Spoofing Autenticação Representando algo ou outra pessoa
Tampering Integridade Modificando dados ou código
Repudiation Não repúdio Alegando não ter realizado uma ação.
InformationDisclosure
Confidencialidade Expondo informações para alguém que não tem autorização para ver
Denial of Service Disponibilidade Negar serviços ao usuário
Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização
Identificação
![Page 22: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/22.jpg)
Mitigação
Etapa destinada a identificarmos quais são os controles que
já possuímos e quais são os controles
que precisamos implementar
- Para cada vulnerabilidade realizar a pergunta:
"Temos algum controle que impeça isso de acontecer?"
- Se sim, retirar item com referência do controle.
- Se não, manter o item no diagrama.
![Page 23: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/23.jpg)
Mitigação
Ausência de controle (vulnerabilidade)Ameaça RISCO DE
SEGURANÇA
Ameaça Vulnerabilidade Risco
Interceptação de comunicação entre
APIs
Ausência de criptografia ou canal
seguro (HTTPS)
Vazamento de dados pessoais
![Page 24: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/24.jpg)
Priorização
Esta etapa é destinada a identificar
os riscos, probabilidade e impacto de cada
associados às ameaças encontradas. Com isso, priorizá-las.
- Desenhe um matriz de Impacto versus Probabilidade.
- Defina para cada item qual é quadrante que ele está. Por exemplo: alto impacto, baixa probabilidade.
- Derive e priorize tarefas no backlog de acordo com o risco de cada uma.
RISCO = PROBABILIDADE de ocorrência x IMPACTO do dano causado
![Page 25: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/25.jpg)
Priorização
![Page 26: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/26.jpg)
ExperiênciasE Aprendizados
![Page 27: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/27.jpg)
27
● OWASP Threat Modeling● Norton LifeLock Cyber Safety Insights Report Global● ThoughtWorks Threat Modeling● Dipping Your Toes Into Threat Modeling ● Secure Design with Threat Modelling● Mapa de segurança● Lean Model Security and Security Practices● Sensible Security Conversations
Leia mais sobre em...
![Page 28: apenas para o final? não deixar segurança Threat … › thedevconf...2019/05/17 · Elevation of Privilege Autorização Obtenha capacidades de realizar ações sem a devida autorização](https://reader033.fdocumentos.com/reader033/viewer/2022042409/5f24cf97831d3c662b31ea1b/html5/thumbnails/28.jpg)
Nos ache aqui :)Até mais
github/ruandev ruanvictor [email protected] Ruanvictor_ ruanvictor.dev
github/thaiane thaianebraga [email protected] ThaiiBraga thaiane.github.io