Modelagem de Ameaças com STRIDE e DREAD: Uma Análise preliminar aplicada a um sistema IoT
Resumo
A crescente complexidade dos sistemas e o aumento das ameaças cibernéticas exigem práticas robustas de segurança. A modelagem de ameaças é uma abordagem eficaz para identificar e mitigar riscos em sistemas complexos. Este trabalho explora as metodologias STRIDE e DREAD aplicadas à modelagem de ameaças em um sistema IoT, com foco nas etapas de identificação e mitigação de ameaças. A análise preliminar ilustra como cada metodologia pode ser utilizada em diferentes contextos, ressaltando sua aplicabilidade para a segurança de sistemas. Ao longo do estudo, demonstramos como as duas metodologias podem complementar-se para aumentar a eficácia da proteção de sistemas complexos.
Palavras-chave:
Modelagem de Ameaças, STRIDE, DREAD, IoT,
Referências
Ahmed, Z. and Francis, S. C. (2019). Integrating security with devsecops: Techniques and challenges. In Proceedings of the 2019 International Conference on Digitization (ICD), pages 178–182. IEEE.
Alves, L. F., Amalfi, P., and Martin, S. (2024). Basic iot threat modeling (bitm). DOI: 10.5281/zenodo.13821928. Accessed: October 15, 2024.
Awojana, T. B. (2018). Threat modelling and analysis of web application attacks.
Conviso (2024). Threat modeling. Accessed: 2024-06-17.
Deng, M., Wuyts, K., Scandariato, R., Preneel, B., and Joosen, W. (2011). Linddun: A privacy threat modeling framework. In Proceedings of the 7th Symposium on Usable Privacy and Security.
Howard, M. and LeBlanc, D. (2002). Writing Secure Code. Microsoft Press.
Infomach (2024). Conheça o modelo de ameaça stride. Accessed: 2024-06-17.
National Institute of Standards and Technology (2006). Minimum Security Requirements for Federal Information and Information Systems. Technical Report FIPS PUB 200, NIST. Accessed: October 15, 2024.
OWASP (2024). Threat modeling process. [link]. Accessed: October 15, 2024.
Shostack, A. (2014). Threat Modeling: Designing for Security. Wiley.
Wuyts, K., Scandariato, R., and Joosen, W. (2014). Empirical evaluation of a privacy-focused threat modeling methodology. Journal of Systems and Software, 96:122–138.
Alves, L. F., Amalfi, P., and Martin, S. (2024). Basic iot threat modeling (bitm). DOI: 10.5281/zenodo.13821928. Accessed: October 15, 2024.
Awojana, T. B. (2018). Threat modelling and analysis of web application attacks.
Conviso (2024). Threat modeling. Accessed: 2024-06-17.
Deng, M., Wuyts, K., Scandariato, R., Preneel, B., and Joosen, W. (2011). Linddun: A privacy threat modeling framework. In Proceedings of the 7th Symposium on Usable Privacy and Security.
Howard, M. and LeBlanc, D. (2002). Writing Secure Code. Microsoft Press.
Infomach (2024). Conheça o modelo de ameaça stride. Accessed: 2024-06-17.
National Institute of Standards and Technology (2006). Minimum Security Requirements for Federal Information and Information Systems. Technical Report FIPS PUB 200, NIST. Accessed: October 15, 2024.
OWASP (2024). Threat modeling process. [link]. Accessed: October 15, 2024.
Shostack, A. (2014). Threat Modeling: Designing for Security. Wiley.
Wuyts, K., Scandariato, R., and Joosen, W. (2014). Empirical evaluation of a privacy-focused threat modeling methodology. Journal of Systems and Software, 96:122–138.
Publicado
11/11/2024
Como Citar
ALVES, Luis Fernando; AMALFI, Pedro; MARTIN, Santiago; SCHEPKE, Claudio; RODRIGUES, Elder; BERNARDINO, Maicon.
Modelagem de Ameaças com STRIDE e DREAD: Uma Análise preliminar aplicada a um sistema IoT. In: ESCOLA REGIONAL DE ENGENHARIA DE SOFTWARE (ERES), 8. , 2024, Santiago/RS.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2024
.
p. 218-227.
DOI: https://doi.org/10.5753/eres.2024.4319.
