Threat Copilot: Um sistema de recomendação para a modelagem de ameaças
Resumo
Os processos de desenvolvimento seguro de software buscam garantir que a construção do software resulte em produtos capazes de funcionar adequadamente mesmo diante de ataques. Uma das atividades mais relevantes em um processo de desenvolvimento seguro é a identificação antecipada das falhas de segurança através da modelagem de ameaças. Diversos métodos de modelagem de ameaças foram propostos tanto na indústria como na academia, mesmo assim a adoção desta atividade ainda não tem sido trivial pelos times de desenvolvimento. Este trabalho apresenta a ferramenta Threat Copilot, um sistema de recomendação baseado em conhecimento que identifica ameaças com base na similaridade com modelos de ameaças pré-existentes em uma organização. Resultados preliminares indicam que a ferramenta pode ser útil em facilitar a elicitação de ameaças.
Referências
Bernsmed, K., Cruzes, D. S., Jaatun, M. G., and Iovan, M. (2022). Adopting threat modelling in agile software development projects. Journal of Systems and Software, 183:111090.
BeyondTrust (2023). Microsoft vulnerabilities report 2023. Technical report, BeyondTrust. Disponível em: [link]. Acesso em 15/06/2023.
Casola, V., De Benedictis, A., Rak, M., and Villano, U. (2019). Toward the automation of threat modeling and risk assessment in iot systems. Internet of Things, 7:100056. B1.
Davis, F. D. et al. (1989). Technology acceptance model: Tam. Al-Suqri, MN, Al-Aufi, AS: Information Seeking Behavior and Technology Adoption, pages 205–219.
Elkamel, A., Gzara, M., and Ben-Abdallah, H. (2016). An uml class recommender system for software design. In 2016 IEEE/ACS 13th International Conference of Computer Systems and Applications (AICCSA), pages 1–8.
Ghosh, S., Zaboli, A., Hong, J., and Kwon, J. (2023). An integrated approach of threat analysis for autonomous vehicles perception system. IEEE Access, 11:14752–14777.
Granata, D. and Rak, M. (2023). Systematic analysis of automated threat modelling techniques: Comparison of open-source tools. Software Quality Journal, pages 1–37.
Kudriavtseva, A. and Gadyatskaya, O. (2022). Secure software development methodologies: A multivocal literature review. (arXiv:2211.16987).
Shull, F. (2016). Evaluation of competing threat modeling methodologies. Technical report, Software Engineering Institute Carnegie Mellon University.
Tok, Y. C. and Chattopadhyay, S. (2023). Identifying threats, cybercrime and digital forensic opportunities in smart city infrastructure via threat modeling. Forensic Science International: Digital Investigation, 45:301540.
Xiong, W. and Lagerström, R. (2019). Threat modeling – a systematic literature review. Computers Security, 84:53–69.
Yskout, K., Heyman, T., Van Landuyt, D., Sion, L., Wuyts, K., and Joosen, W. (2020). Threat modeling: from infancy to maturity. In Proceedings of the ACM/IEEE 42nd International Conference on Software Engineering: New Ideas and Emerging Results, page 9–12, Seoul South Korea. ACM.