O que é modelagem de ameaças?

Question

Accepted Answer

**Modelagem de ameaças** é um processo estruturado para identificar potenciais **ameaças de segurança** a um sistema e planejar defesas — pensando sistematicamente sobre o que poderia dar errado, quem poderia atacar e como. É uma abordagem proativa de segurança, realizada durante a fase de design.

## O que é modelagem de ameaças

```text
Threat modeling = systematically analyzing a system to find SECURITY THREATS and decide
how to mitigate them — BEFORE building (or as a review):
  → understand the system (data flows, components, trust boundaries, assets)
  → identify THREATS (what could an attacker do? where are the weak points?)
  → assess and prioritize risks; plan MITIGATIONS
→ proactive security: design defenses by thinking like an attacker, early.
```

## Abordagem comum (e STRIDE)

```text
Typical questions:
  1. What are we building? (diagram the system, data flows, trust boundaries)
  2. What can go wrong? (identify threats)
  3. What do we do about it? (mitigations)
  4. Did we do a good job? (review)
STRIDE → a framework for categorizing threats:
  Spoofing, Tampering, Repudiation, Information disclosure, Denial of service,
  Elevation of privilege
→ helps systematically consider threat types per component/data flow.
```

## Por que e quando

```text
✓ PROACTIVE → find/address security issues at DESIGN time (cheaper than after a breach)
✓ Focuses security effort on real RISKS (the most important threats to the system)
✓ Especially valuable for sensitive/critical systems and significant new features
✓ Part of "security by design" / shift-left → build security in, not bolt on
→ A structured way to think about and improve a system's security posture.
```

## Por que isso importa

Compreender modelagem de ameaças é um conhecimento valioso de nível sênior porque é uma **abordagem proativa e estruturada de segurança** que identifica e resolve ameaças na fase de design, portanto é importante para construir sistemas seguros de forma thoughtful.

Modelagem de ameaças — **analisar sistematicamente um sistema para identificar ameaças de segurança e planejar mitigações**, compreendendo o sistema (fluxos de dados, componentes, limites de confiança, ativos), identificando o que poderia dar errado e decidindo como se defender — representa uma abordagem proativa de segurança na fase de design (pensar como um atacante cedo, em vez de reagir a brechas).

Compreender a **abordagem comum** (as perguntas: o que estamos construindo, o que pode dar errado, o que fazemos a respeito, fizemos bem — diagramando o sistema e identificando ameaças) e frameworks como **STRIDE** (categorizando ameaças como Spoofing, Tampering, Repudiation, Information disclosure, Denial of service e Elevation of privilege — ajudando a considerar sistematicamente tipos de ameaças) fornece estrutura para fazer isso de forma eficaz em vez de ad-hoc.

Compreender **por que e quando** modelagem de ameaças é valiosa — sendo proativo (encontrando e resolvendo problemas na fase de design, muito mais barato do que após uma violação), focando o esforço de segurança nos riscos reais e mais importantes, sendo especialmente valioso para sistemas sensíveis/críticos e recursos significativos, e incorporando **security by design / shift-left** (construir segurança em vez de adicionar depois) — reflete pensamento de segurança maduro.

Modelagem de ameaças é como equipes reflexivas melhoram sistematicamente sua postura de segurança durante o design, abordando ameaças antes que se tornem vulnerabilidades.

Como segurança proativa na fase de design (encontrando e abordando ameaças antes de construir) é mais eficaz e barata do que segurança reativa, e como modelagem de ameaças fornece uma forma estruturada de fazer isso (identificando sistematicamente ameaças e mitigações, usando frameworks como STRIDE), e como compreender isso reflete prática de segurança madura, compreender modelagem de ameaças é um conhecimento valioso de nível sênior — uma prática importante de segurança proativa para construir sistemas seguros de forma thoughtful, incorporando security-by-design, e refletindo o pensamento de segurança estruturado e orientado para atacante esperado para funções sênior que projetam e revisam sistemas de segurança.