Terminologias Utilizadas em Modelagem de Ameaças

Em modelagem de ameaças utilizam-se algumas terminologias que podem não ser familiares para alguns profissionais, principalmente em início de carreira. Por isso achei útil compartilhar o guia abaixo:  

• Ameaça - Uma pessoa ou coisa que toma medidas para explorar (ou fazer uso de) as vulnerabilidades do sistema de uma organização-alvo, como parte de atingir ou promover sua meta ou objetivos.
• Atacante: Quem realizou o ataque. Neste caso, o criminoso que invadiu o sistema e roubou os dados.
• Ataque - Pode ser real ou hipotético, com base em possíveis ações ou ataques tentados por um cibercriminoso, como um ataque à rede da sua empresa. 
• Ativo - Coisas importantes para você, informações confidenciais. Por exemplo, dados PCI ou PII. Um ativo é algo que precisa de proteção.
• Biblioteca de conteúdo - Uma base de conhecimento de padrões de risco, onde cada padrão consiste em um grupo lógico de ameaças de segurança, pontos fracos e contramedidas.
• Contramedidas - Ações que podem ser implementadas para mitigar o impacto ou a probabilidade de uma ameaça.
• Controles - São salvaguardas ou contramedidas que você implementa para evitar, detectar, neutralizar ou minimizar possíveis ameaças contra suas informações, sistemas ou outros ativos.
• Componentes - Partes que compõem a representação como uma instância do EC2 ou uma API ou ainda uma função dentro de uma aplicação web. Os componentes podem ser aninhados uns nos outros.
• Exploit: Conjunto de técnicas e tecnologia que explora uma vulnerabilidade.
• Fluxos de dados - Como as informações e os ativos se movem entre os componentes.
• Insider: Alguém interno que pode colaborar com o atacante para vazar informações ou comprometer a empresa.
• Impacto - É uma medida do dano potencial causado por uma ameaça específica. Dependendo do negócio em que você atua, os ataques que expõem as informações do usuário podem resultar em uma ameaça física de dano ou perda de vida para seus usuários, aumentando consideravelmente o impacto das ameaças que permitiriam tal exposição.
• Metadados do projeto - Nome, identificador, descrição, proprietário da coisa que você está modelando como ameaça.
• Mitigações - São controles implementados para reduzir a probabilidade ou o impacto de uma ameaça, embora não necessariamente a impeçam completamente.
• Modelo - Os modelos podem ser criados do zero ou gerados a partir de projetos pré-existentes para agilizar a criação de futuros modelos de ameaças. Os modelos costumam ser usados ​​para fornecer o esqueleto de um modelo de ameaça para dar aos colegas uma vantagem inicial na análise do diagrama.
• Padrões - Cada setor e país tem seus próprios padrões a serem seguidos ou considerados, desde saúde e finanças até organizações governamentais, como por exemplo o RGPD. 
• Pontuação de risco - Uma métrica para avaliar o nível de risco do seu negócio.
• Probabilidade - É uma medida da possibilidade de uma ameaça ser realizada. Uma variedade de fatores pode impactar a probabilidade de uma ameaça ser executada, incluindo quão difícil é a implementação da ameaça e quão gratificante seria para o invasor.
• RBAC/Role Based Access Controls - Um meio de restringir o acesso a usuários com base em suas funções, como Admin.
• Representações - Uma perspectiva sobre o que está sendo modelado como ameaça, por exemplo, diagrama de arquitetura, diagrama de fluxo de dados, código-fonte, JIRA, interface do usuário.
• Relatórios - Periodicamente, ao longo do ciclo de vida de um projeto, as equipes podem querer gerar relatórios executivos para capacitar internamente e fornecer às partes interessadas as informações de que precisam. Eles podem ser gerados para vários casos de uso, como um resumo de conformidade ou um relatório detalhado de todas as contramedidas identificadas
• Risco - Riscos são a combinação de uma ameaça e uma vulnerabilidade. Da-se o nome de risco a potencial perda, dano ou destruição de qualquer coisa que seja valiosa para a empresa, como um sistema, reputação, etc.
• Trust Zone - Os diferentes níveis de segurança e confiança. Internet x Web x App x Camada de dados.
• Unidade de negócios - Um grupo de usuários e produtos dentro do sistema. Com permissões básicas, os usuários têm acesso apenas aos Produtos que estão em sua Unidade de Negócios e limitados à função que lhes foi atribuída.
• Versionamento - O versionamento consiste em estratégias para gerenciar as diferentes versões de um código, de um sistema ou de um modelo. É uma forma de administrar as mudanças que são feitas e de garantir mais segurança na transição de uma versão para outra.
• Vulnerabilidade - uma fraqueza ou brecha em um de nossos sistemas que pode ser explorado por um atacante e causar danos.

Caso você tenha alguma sugestão de terminologia que não encontrou na lista acima, por favor, deixe nos comentários.

Você também pode ler mais sobre fundamentos de segurança cibernética em outro post que publiquei por aqui.