Recomendações para análise de ameaças
Aplica-se a esta recomendação da lista de verificação de segurança bem arquitetada: Power Platform
| SE:02 | Incorpore um design seguro usando modelagem de ameaças para proteger contra implementações que violem a segurança. |
|---|
Uma análise abrangente para identificar ameaças, ataques, vulnerabilidades e contramedidas é fundamental durante a fase de design de uma carga de trabalho. A modelagem de ameaças é um exercício de engenharia que inclui a definição de requisitos de segurança, a identificação e mitigação de ameaças e a validação dessas mitigações. Você pode usar essa técnica em qualquer estágio de desenvolvimento ou produção do aplicativo, mas ela é mais eficaz durante os estágios de design da nova funcionalidade.
Este guia descreve as recomendações para fazer modelagem de ameaças, para que você possa identificar lacunas de segurança rapidamente e projetar suas defesas de segurança.
Definições
| Termo | Definição |
|---|---|
| Ciclo de vida de desenvolvimento de software (SDLC) | Um processo sistemático e de várias etapas para o desenvolvimento de sistemas de software. |
| STRIDE | Uma taxonomia definida para categorizar tipos de ameaças. Microsoft |
| Modelagem de ameaças | Um processo para identificar possíveis vulnerabilidades de segurança no aplicativo e no sistema, mitigar riscos e validar controles de segurança. |
Estratégias-chave de design
A modelagem de ameaças é um processo crucial que uma organização deve integrar ao seu SDLC. A modelagem de ameaças não é apenas uma tarefa do desenvolvedor. É uma responsabilidade compartilhada entre:
- A equipe de carga de trabalho, responsável pelos aspectos técnicos do sistema.
- Stakeholders do negócio, que entendem os resultados do negócio e têm interesse em segurança.
Muitas vezes, há uma desconexão entre a liderança organizacional e as equipes técnicas em relação aos requisitos de negócios para cargas de trabalho críticas. Essa desconexão pode levar a resultados indesejados, principalmente para investimentos em segurança.
Considere os requisitos comerciais e técnicos ao fazer o exercício de modelagem de ameaças. A equipe de carga de trabalho e os stakeholders do negócio devem concordar com as necessidades específicas de segurança da carga de trabalho para que possam fazer investimentos adequados nas contramedidas.
Os requisitos de segurança servem como guia para todo o processo de modelagem de ameaças. Para torná-lo um exercício eficaz, a equipe de carga de trabalho deve ter uma mentalidade de segurança e ser treinada em ferramentas de modelagem de ameaças.
Compreender o escopo do exercício
Uma compreensão clara do escopo é crucial para uma modelagem eficaz de ameaças. Ela ajuda a concentrar esforços e recursos nas áreas mais críticas. Essa estratégia envolve definir os limites do sistema, fazer um inventário dos ativos que precisam ser protegidos e entender o nível de investimento necessário em controles de segurança.
Reúna informações sobre cada componente
Um diagrama de arquitetura de carga de trabalho é um ponto de partida para coletar informações porque fornece uma representação visual do sistema. O diagrama destaca as dimensões técnicas do sistema. Por exemplo, ele mostra fluxos de usuário, como os dados se movem por diferentes partes da carga de trabalho, níveis de confidencialidade de dados e tipos de informações e caminhos de acesso de identidade.
Essa análise detalhada muitas vezes pode fornecer informações sobre possíveis vulnerabilidades no design. É importante entender a funcionalidade de cada componente e suas dependências.
Avaliar as ameaças potenciais
Analise cada componente de uma perspectiva de fora para dentro. Por exemplo, com que facilidade um invasor pode obter acesso a dados confidenciais? Se os invasores obtiverem acesso ao ambiente, eles poderão se mover lateralmente e potencialmente acessar ou até mesmo manipular outros recursos? Essas perguntas ajudam você a entender como um invasor pode explorar ativos de carga de trabalho.
Classifique as ameaças usando uma metodologia do setor
Uma metodologia para classificar ameaças é o STRIDE, que o Microsoft Ciclo de Vida de Desenvolvimento de Segurança usa. Classificar ameaças ajuda você a entender a natureza de cada ameaça e usar controles de segurança apropriados.
Mitigar as ameaças
Documente todas as ameaças identificadas. Para cada ameaça, defina controles de segurança e a resposta a um ataque se esses controles falharem. Defina um processo e uma linha do tempo que minimizem a exposição a quaisquer vulnerabilidades identificadas na carga de trabalho, para que essas vulnerabilidades não possam ser deixadas sem solução.
Use a abordagem de supor violação . Ela pode ajudar a identificar os controles necessários no design para reduzir o risco caso um controle de segurança primário falhe. Avalie a probabilidade de falha do controle primário. Se falhar, qual é a extensão do risco organizacional potencial? Além disso, qual é a eficácia dos controles compensatórios? Com base na avaliação, aplique medidas de defesa em profundidade para abordar possíveis falhas de controles de segurança.
Veja um exemplo:
| Faça uma pergunta | Para determinar controles que... |
|---|---|
| As conexões são autenticadas por meio do Microsoft Entra da ID e usam protocolos de segurança modernos aprovados pela equipe de segurança: - Entre os usuários e o aplicativo? - Entre componentes de aplicação e serviços? - Entre os usuários e o copiloto? |
Evite o acesso não autorizado aos componentes e dados do aplicativo. |
| Você está limitando o acesso apenas a contas que precisam gravar ou modificar dados no aplicativo? | Impeça adulteração ou alteração não autorizada de dados. |
| A atividade do aplicativo é registrada e alimentada em um sistema de informações e gerenciamento de evento de segurança (SIEM) por meio do Azure Monitor ou de uma solução semelhante? | Detecte e investigue ataques rapidamente. |
| Os dados críticos são protegidos com criptografia aprovada pela equipe de segurança? | Impedir a cópia não autorizada de dados em repouso. |
| O tráfego de rede de entrada e saída está isolado para domínios aprovados pelas equipes de segurança? | Impedir a cópia não autorizada de dados. |
| O aplicativo é protegido contra acesso de locais externos/públicos, como cafeterias, usando firewalls de IP no ambiente? | Impedir o acesso de locais públicos não autorizados. |
| O aplicativo armazena credenciais ou chaves de entrada para acessar outros aplicativos, bancos de dados ou serviços? | Identifique se um ataque pode usar seu aplicativo para atacar outros sistemas. |
| Os controles do aplicativo permitem que você atenda aos requisitos regulamentares? | Proteja os dados privados dos usuários e evite multas de conformidade. |
Acompanhe os resultados da modelagem de ameaças
É altamente recomendável usar uma ferramenta de modelagem de ameaças. As ferramentas podem automatizar o processo de identificação de ameaças e produzir um relatório abrangente de todas as ameaças identificadas. Certifique-se de comunicar os resultados a todas as equipes interessadas.
Acompanhe os resultados como parte da lista de pendências da equipe de carga de trabalho para permitir a responsabilidade em tempo hábil. Atribua tarefas a indivíduos responsáveis por mitigar um risco específico que a modelagem de ameaças identificou.
À medida que você adiciona novos recursos à solução, atualiza o modelo de ameaças e o integra ao processo de gerenciamento de código. Se você encontrar um problema de segurança, verifique se há um processo para fazer a triagem do problema com base na gravidade. O processo deve ajudá-lo a determinar quando e como corrigir o problema (por exemplo, no próximo ciclo de lançamento ou em uma versão mais rápida).
Revise regularmente os requisitos de carga de trabalho comercialmente críticos para os negócios
Reúna-se regularmente com patrocinadores executivos para definir requisitos. Essas revisões oferecem uma oportunidade de alinhar expectativas e garantir a alocação de recursos operacionais para a iniciativa.
Facilitação do Power Platform
O Power Platform é baseado em uma cultura e metodologia de design seguro. Tanto a cultura quanto a metodologia são constantemente reforçadas por meio das práticas líderes do setor de MicrosoftCiclo de Vida de Desenvolvimento de Segurança (SDL) e Modelagem de Ameaças .
O processo de revisão de Modelagem de Ameaças garante as ameaças sejam identificadas durante a fase de projeto, mitigadas e validadas para garantir que sejam mitigadas.
A Modelagem de Ameaças também leva em consideração todas as alterações nos serviços que já estão ativos por meio de revisões regulares contínuas. Depender do modelo STRIDE ajuda a resolver os problemas mais comuns com o design inseguro.
MicrosoftO SDL é equivalente ao Modelo de Maturidade de Garantia de Software OWASP (SAMM). Ambos se baseiam na premissa de que o design seguro é parte essencial da segurança de aplicativos Web.
Para obter mais informações, consulte Os 10 principais riscos da OWASP: mitigações no Power Platform.
Exemplo
Este exemplo se baseia no ambiente de Tecnologia da Informação (TI) estabelecido nas Recomendações para estabelecer uma linha de base de segurança. Essa abordagem fornece uma ampla compreensão do cenário de ameaças em diferentes cenários de TI.
Personas do ciclo de vida de desenvolvimento. Existem muitas personas envolvidas em um ciclo de vida de desenvolvimento, incluindo desenvolvedores, testadores, usuários finais e administradores. Todos eles podem ser comprometidos e colocar seu ambiente em risco por meio de vulnerabilidades ou ameaças criadas intencionalmente.
Atacantes em potencial. Os invasores consideram uma ampla gama de ferramentas disponíveis facilmente para serem usadas a qualquer momento para explorar suas vulnerabilidades e iniciar um ataque.
Controles de segurança. Como parte da análise de ameaças, identifique Microsoft, Azure e Power Platform serviços de segurança a serem usados para proteger sua solução e quão eficazes essas soluções são.
Coleta de logs. Logs de Power Platform recursos e outros componentes incluídos na sua carga de trabalho, como recursos do Azure e componentes local, podem ser enviados para Application Insights ou Microsoft Purview para que você possa entender o comportamento da sua solução desenvolvida e tentar capturar vulnerabilidades iniciais.
Solução de informações de segurança geranciamento de evento (SIEM). Microsoft O Sentinel pode ser adicionado até mesmo em um estágio inicial da solução para que você possa criar algumas consultas analíticas para mitigar ameaças e vulnerabilidades, antecipando seu ambiente de segurança quando estiver em produção.
Informações relacionadas
- Modelo STRIDE
- Modelagem de Ameaças
- Power Platform Perguntas frequentes sobre segurança
- Microsoft Plataforma de Identidade
- Ciclo de vida do desenvolvimento de segurança
- Azure AD Avaliação de acesso contínuo
- política de segurança de conteúdo
- Proteção DDoS do Azure
- Microsoft Configurações da política de conformidade do Intune
Lista de verificação de segurança
Consulte o conjunto completo de recomendações.