Uma Abordagem Orientada a Modelos para Análise de Risco em Cibersegurança
Explorando os benefícios de uma abordagem orientada a modelos para a gestão de riscos de cibersegurança.
― 8 min ler
Índice
No mundo de hoje, as empresas enfrentam muitos riscos por causa de ameaças cibernéticas. Muitas indústrias estão adotando medidas de proteção baseadas em várias diretrizes. No entanto, o processo geralmente depende de documentos ou modelos incompletos. Essa dependência afeta como as empresas analisam os riscos relacionados à segurança cibernética. Este artigo discute os benefícios de usar uma abordagem orientada a modelos para a análise inicial de riscos e sua conexão com os testes de segurança posteriores.
À medida que as empresas ficam mais dependentes de sistemas de informação e controle industrial (ICS), os riscos que enfrentam aumentam. Embora as tecnologias digitais melhorem a eficiência e a competitividade, elas também tornam os sistemas mais complexos e interconectados. Essa crescente complexidade expande o potencial para ataques, tornando crucial que as indústrias garantam que suas organizações e ofertas consigam lidar com esses riscos. Os governos, especialmente na Europa, reconheceram essa necessidade implementando a diretiva NIS (Sistema de Informação de Rede) para proteger setores essenciais como transporte, energia, água e saúde.
Para se protegerem, as organizações precisam adotar uma abordagem em camadas que inclua estratégias de defesa, reação e recuperação. Um processo sólido de gerenciamento de riscos é vital para primeiro identificar os riscos, avaliar sua importância e decidir sobre medidas para reduzi-los a um nível aceitável. Essas medidas devem ser implementadas e testadas quanto à sua eficácia em várias etapas: durante o desenvolvimento (teste funcional), no momento da implementação (teste de penetração) e enquanto o sistema está em operação (monitoramento de segurança) através de um ciclo de vida DevSecOps.
O gerenciamento de riscos é bem compreendido em muitos campos e é um passo necessário descrito na maioria dos padrões, embora os detalhes e a aplicação possam diferir significativamente. Por exemplo, o setor de tecnologia da informação (TI) tem acesso a padrões específicos desde 2005, enquanto outras áreas como sistemas industriais e aeronáutica começaram a adotá-los por volta de 2010, e o setor automotivo fez isso em 2021. Essa variedade tem sido benéfica, pois permite abordar as características únicas de cada área, como TI (Tecnologia da Informação) e OT (Tecnologia Operacional). No entanto, essa variedade também pode levar a confusões e dificuldades em entender certos conceitos de risco, já que podem ser usados de maneiras diferentes, dependendo do contexto.
Quando se trata de suporte a ferramentas, muitas vezes é desafiador criar links e automatizar conexões entre várias ferramentas em um processo DevSecOps, especialmente ao usar modelos. Este artigo se concentrará especificamente nos resultados finais de modelagem, gerenciamento de riscos e ferramentas de teste.
Levantamento de Metamodelos de Risco
Esta seção revisa vários metamodelos de risco encontrados na literatura existente para identificar características compartilhadas e elementos inspiradores que podem ajudar a criar uma estrutura conceitual abrangente para atender às necessidades de diferentes indústrias, atividades e ferramentas. Começaremos com modelos mais simples e exploraremos como eles podem evoluir e se tornarem mais detalhados.
Modelo Genérico de Risco
Um modelo básico é um metamodelo de Custo-Risco projetado para otimização em contextos regulatórios, não especificamente para segurança cibernética. Ele demonstra conceitos fundamentais como ativos, objetivos, ameaças e controles. Nesse modelo, os riscos estão conectados a ativos e controles, indicando como esses elementos interagem.
Modelo Simples de Risco de Cibersegurança ISO27K
O próximo modelo é um modelo simples de risco de cibersegurança que segue o padrão ISO 27001, que descreve requisitos para um sistema de gerenciamento de segurança da informação baseado em gerenciamento de riscos. Este modelo acrescenta ideias específicas de segurança como Vulnerabilidades e exploits e as associa a objetivos e responsabilidades. No entanto, o conceito de risco aqui não está explicitamente definido.
Modelo de Risco EBIOS
O modelo EBIOS é um método francês apoiado pela ANSSI, a autoridade nacional de cibersegurança na França. Este metamodelo está alinhado com a ISO27005 e inclui conceitos para classificar ativos como de negócio ou de suporte. Os riscos são modelados explicitamente e vinculados a cenários que podem impactar os objetivos de segurança, fornecendo uma avaliação de impacto quantificável.
Conduítes IEC/ISA 62443
O padrão IEC/ISA 62443 foca na segurança de componentes em sistemas de automação industrial e controle. Ao contrário do modelo ISO27K, inclui aspectos de tecnologia operacional como controle e supervisão. Uma característica notável deste padrão é a organização de sistemas em zonas e conduítes, melhorando a proteção ao criar camadas de defesa.
Modelo de Risco para Engenharia de Segurança
Este metamodelo de risco adota uma visão mais ampla, propondo uma abordagem de engenharia de segurança que abrange vários submodelos para tarefas, objetivos, riscos e responsabilidades. Ele introduz o papel do atacante, com capacidades e motivações exploradas através de cenários estruturados.
Modelo de Risco para Co-Engenharia de Segurança e Segurança
Este modelo combina aspectos de segurança e proteção, refletindo as diferentes culturas dos engenheiros nesses campos. Ele captura conceitos através de funções ou componentes, com vetores de ataque vinculados a ameaças. No entanto, o desafio reside nos diferentes níveis de detalhe e alinhamento entre os dois domínios.
Modelo Conceitual Consolidado de Risco
Esta seção apresenta um modelo conceitual de risco unificado baseado em levantamentos anteriores.
Conceitos de Análise de Risco e Suas Relações
O novo modelo organiza ativos essenciais e de suporte usando classificações do EBIOS junto com estruturas do IEC/ISA 62443. Ele visualiza as relações entre ativos de negócio, as características de segurança a serem protegidas, os riscos associados e as Medidas de Controle em vigor.
Características chave a notar incluem:
- O modelo captura estruturas organizacionais, permitindo modelagem orientada a objetivos através de árvores de objetivos. Essa abordagem vincula propriedades de segurança a metas do sistema, possibilitando uma melhor engenharia de requisitos.
- O papel e as motivações do atacante estão claramente definidos, ligando suas intenções à avaliação de risco através de cenários de preocupação (referidos como eventos temidos no EBIOS).
- Os riscos são caracterizados pelo seu impacto potencial e viabilidade, relacionados a ativos de suporte vulneráveis a ataques.
Por fim, as estratégias de segurança são implementadas como medidas de controle em diferentes camadas de defesa orientadas pelo NIST Cybersecurity Framework.
Aplicação Prática do Modelo Consolidado
Para validar o modelo proposto, várias ferramentas foram usadas para capturar diferentes conceitos em estágios específicos do fluxo de trabalho DevSecOps:
- A ferramenta de modelagem estratégica piStar ajuda a capturar aspectos de negócios em um estudo de caso de uma instalação de tratamento de água.
- A ferramenta MONARC se alinha com o framework ISO 27005, exibindo ativos e riscos enquanto oferece uma estrutura para avaliação.
- A extensão Capella conecta a avaliação de risco com abordagens de modelagem de sistema, melhorando o alinhamento entre conceitos.
- O framework CYRUS serve como uma ferramenta de teste que rastreia riscos e vulnerabilidades de volta aos componentes do sistema.
A abordagem envolveu utilizar as ferramentas para facilitar trocas de dados, como entre o piStar e o MONARC, ou revisar modelos existentes para determinar mapeamentos para o novo framework.
Conclusão
Este artigo apresentou um metamodelo consolidado para análise de risco extraído de vários padrões e frameworks de cibersegurança. A validação com diferentes ferramentas demonstrou sua consistência geral, embora haja áreas para melhoria, particularmente no alinhamento de conceitos relacionados a agentes e papéis.
Trabalhos futuros se concentrarão em refinar o modelo à medida que novas ferramentas forem desenvolvidas e implementadas ao longo do ciclo de vida DevSecOps. Além disso, capturar insights de testes de penetração e monitoramento em tempo real de volta para o modelo de análise de risco fornecerá dados valiosos. O objetivo é formular um modelo de processo para análise de risco que forneça orientações consistentes entre padrões variados.
O modelo conceitual proposto serve como uma referência fundamental para entender melhor as análises de risco e para aprimorar as conexões entre diferentes frameworks, levando, em última análise, a práticas de cibersegurança melhores.
Título: Building a Cybersecurity Risk Metamodel for Improved Method and Tool Integration
Resumo: Nowadays, companies are highly exposed to cyber security threats. In many industrial domains, protective measures are being deployed and actively supported by standards. However the global process remains largely dependent on document driven approach or partial modelling which impacts both the efficiency and effectiveness of the cybersecurity process from the risk analysis step. In this paper, we report on our experience in applying a model-driven approach on the initial risk analysis step in connection with a later security testing. Our work rely on a common metamodel which is used to map, synchronise and ensure information traceability across different tools. We validate our approach using different scenarios relying domain modelling, system modelling, risk assessment and security testing tools.
Autores: Christophe Ponsard
Última atualização: 2024-09-12 00:00:00
Idioma: English
Fonte URL: https://arxiv.org/abs/2409.07906
Fonte PDF: https://arxiv.org/pdf/2409.07906
Licença: https://creativecommons.org/licenses/by/4.0/
Alterações: Este resumo foi elaborado com a assistência da AI e pode conter imprecisões. Para obter informações exactas, consulte os documentos originais ligados aqui.
Obrigado ao arxiv pela utilização da sua interoperabilidade de acesso aberto.