STRIDE é o nome de um modelo de ameaças ( model of threats) é um acrônimo para seis ameaças.
- Spoofing – Representar outro usuário ou componente do sistema para obter seu acesso ao sistema.
- Tampering – Alterar o sistema ou os dados de alguma forma que os torne menos úteis para os usuários pretendidos.
- Repudiation – Negação plausível de ações tomadas sob um determinado usuário ou processo
- Information disclosure – Liberação de informações para partes não autorizadas (por exemplo, uma violação de dados)
- Denial of Service – tornar o sistema indisponível para os usuários pretendidos
- Elevation of Privilege – Conceder a um usuário ou processo acesso adicional ao sistema sem autorização
Os profissionais da Lockheed Martin observaram que o STRIDE foi desenvolvido principalmente para atender a projetos de engenharia e desenvolvimento, em vez de defesa de rede. Para tornar o modelo mais aplicável a este último, eles adicionaram uma sétima classificação:
- Lateral Movement – Expandindo o controle sobre a rede alvo além do ponto inicial de comprometimento.
A modelagem de ameaças é um processo pelo qual as ameaças potenciais, como vulnerabilidades ou a ausência de proteção e controles de segurança , podem ser identificadas, enumeradas e as mitigações podem ser priorizadas.
No STRIDE-LM cada ameaça é uma violação de uma propriedade para um sistema, por exemplo, autenticidade, integridade, confidencialidade, disponibilidade.
Eu sempre cito nos vídeos e apresentações sobre Confidentiality Integrity and Availability,(CIA) em português Confidencialidade, Integridade e disponibilidade. Esse é o fundamento básico de segurança da informação, mas temos mais propriedades para colocar nesse sistema, que em português fica então o acrônimo CIDAL:
- Confidencialidade;
- Integridade;
- Disponibilidade;
- Autenticidade;
- Legalidade (Não repúdio) .
No modelo simplificado de modelo de ameaças STRIDE a Microsoft utiliza as seguintes propriedades na analise de riscos :
| Propriedade | Ameaça | Definição |
| Autenticação | Spoofing | Personificar algo ou outra pessoa. |
| Integridade | Tampering | Modificar dados ou código |
| Não repúdio | Repudiação | Alegar não ter realizado uma ação. |
| Confidencialidade | Information disclosure | Expor informações a alguém não autorizado a vê-las |
| Disponibilidade | Denial of Service | Negar ou degradar o serviço aos usuários |
| Autorização | Elevation of Privilege | Obter recursos sem a autorização adequada |
Para adicionar o LM teríamos:
| Propriedade | Ameaça | Definição |
| Contenção | Lateral Movement | Expandir o controle na rede a partir de um dispotivos |
Recursos importantes
Usar um modelo como esse ajuda a identificar onde estão os erros mais comuns cometidos e o quais melhorias que podemos aplicar na proteção da informação.
boa noite Daniel estou fazendo Gestão em Segurança da Informação.
e curto muito os seus vídeos no canal do YOUTUBE. Parabéns pelo trabalho.
conteúdo de primeira, muitas dicas top, top, top.
Acabei vindo para a sua pagina na web em uma pesquisa para o meu trabalho da faculdade.
Fico muito feliz e espero que o conteúdo possa realmente lhe ajudar.
Forte abraço.