A modelagem de ameaças é um meio altamente eficaz de proteger software e aplicativos, mas poucas organizações realmente o fazem. No ambiente de computação e segurança de hoje, no entanto, a modelagem de ameaças é mais necessária do que nunca.
Sistemas distribuídos baseados em nuvem e equipes de desenvolvimento de software ágeis e multifuncionais substituíram os sistemas monolíticos criados e operados por equipes isoladas. Ao longo do caminho, o software tornou-se muito mais complexo — assim como as ameaças. Os agentes de ameaças mudaram de tática para contornar os meios tradicionais de detecção. Muitos ataques não fornecem mais malware, por exemplo, concentrando-se em comprometimento de credenciais. E os invasores podem ficar dentro das redes da empresa por meses antes de agir. da IBM “Custo de um relatório de violação de dados” constatou que leva em média 287 dias para as organizações identificarem e conterem uma violação.
As empresas reconhecem a necessidade. A Estudo da bússola de segurança 2021 constatou que 79% das empresas de médio e grande porte consideram a modelagem de ameaças uma prioridade, mas apenas 25% conduzem a modelagem durante as fases iniciais do projeto. E apenas 10% realizam modelagem de ameaças em 90% dos aplicativos que desenvolvem.
Como setor, precisamos tornar a modelagem de ameaças uma prática padrão no desenvolvimento de software, introduzida de forma que as equipes de desenvolvimento e segurança possam trabalhar e implementada de forma a mostrar resultados positivos e melhorias ao longo do tempo. E tudo começa com uma palavra que você pode não ouvir muito em operações de TI e círculos de segurança: empatia.
Uma Mudança Cultural
Há uma série de razões para a desconexão entre ver o valor na modelagem de ameaças e realmente fazê-lo, incluindo a falta de comunicação entre as equipes de segurança e desenvolvimento e uma tendência a desistir da modelagem de ameaças se os esforços iniciais se tornarem confusos e não funcionarem. produzir os resultados desejados.
Muitas vezes, as equipes de segurança podem considerar a aplicação de controles de segurança como uma via de mão única entre eles e as equipes de desenvolvimento, simplesmente como uma questão de dizer aos desenvolvedores o que fazer. Mas isso é começar com o pé esquerdo. As organizações precisam reconhecer que cada equipe tem habilidades com as quais a outra pode aprender. Afinal, se você colocar um profissional de segurança no espaço do desenvolvedor, ele estará perdido.
Mudar essa mentalidade requer uma mudança cultural e começa com a visão da empatia como uma proposta de valor. O lado humano disso precisa vir à tona, envolvendo mais pessoas no enriquecimento do nosso conhecimento. As equipes de segurança precisam apreciar o ambiente em que os desenvolvedores trabalham, sob pressão para desenvolver e entregar software rapidamente. As equipes de desenvolvimento podem ajudar as equipes de segurança a entender estruturas como contêineres e como controlar o acesso, conhecimento que pode ser aplicado às políticas de segurança.
Quando as equipes obtêm colaboração indo e voltando, elas estão aprendendo umas com as outras. Levará tempo para chegar a esse ponto. Pode começar em reuniões ou uma integração de processo, talvez trabalhando por meio de tentativa e erro e, eventualmente, passar para a integração de ferramentas. Quando atingem o nível de maturidade em que todos têm uma compreensão básica dos domínios uns dos outros, eles podem passar para níveis mais avançados de modelagem de ameaças, como modelagem de bases de conhecimento e criação de gráficos de conceitos que mapeiam juntos.
Mas precisa de um processo estável, ou fica caro e caótico, resultando em problemas complicados para as pessoas.
3 etapas para uma melhor modelagem de ameaças
Existem três elementos-chave para criar uma atmosfera colaborativa.
Encontre um Coach: Isso ajuda os desenvolvedores a entender a importância da modelagem de ameaças. Pode começar com a integração de novos funcionários. Independentemente de seus antecedentes e certificações, não assuma que eles sabem como a segurança é tratada em sua empresa. Certifique-se de que eles entendam a cultura.
Colaboração: Uma cultura de cooperação e colaboração começa com a liderança de uma empresa, com um CISO tendo a atitude de querer servir as equipes. Pode levar tempo, mas deve ser modelado no nível de liderança.
Moderna: Os elementos da cooperação se unem trabalhando as integrações, que é um processo contínuo. O objetivo não é a perfeição, mas melhorar e evoluir com o tempo.
Uma chave para fazer essa abordagem funcionar é aplicando métricas, especificamente olhando para os resultados, como “reduzir vulnerabilidades” — em vez de tentar classificar os detalhes de como os indivíduos trabalham. Os resultados não são uma coisa do desenvolvedor ou da segurança, é uma coisa de todos.
Descobri em minha experiência que é útil ter planos claros de 30, 60 e 90 dias, descrevendo o resultado esperado em cada estágio. Os planos devem demonstrar crescimento incremental e ser feitos de forma colaborativa. Se esses resultados devem ser medidos, ou você acaba vagando sem rumo.
Empatia é a chave
Como comunidade de segurança, é nossa responsabilidade ajudar os desenvolvedores a adotar a modelagem de ameaças. Não somos nós contra eles. Precisamos fazê-los pensar sobre segurança e modelagem de ameaças como parte de uma abordagem integrada que evolui com o tempo.
A empatia como técnica de gestão pode ajudar a criar esse ambiente. Algumas pessoas podem pensar que empatia significa ausência de responsabilidade – que entender a posição e os pensamentos de alguém é algo delicado – mas, na verdade, produz o resultado oposto. Desenvolve a colaboração de que tanto precisamos.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
