Referências¶

Modelagem de ameaças¶

O simples fato de ser listada como referência não significa que seja endossada.

DREAD: criado pela Microsoft e descontinuado em 2008, é também um sistema de modelagem de ameaça e um mnemônico. Ele é dividido em cinco categorias: Damage, Reproducibility, Exploitability, Affected users e Discoverability (DREAD).
STRIDE: sucessor do DREAD, framework criado pela Microsoft voltado para a elaboração de modelos de ameaças para softwares. O sistema é dividido em seis categorias de ameaças: Spoofing, Tampering, Repudiation, Information Disclosure, Denial of service e Elevation of privilege.
TRIKE (resumo): criada em 2006, é uma metodologia de modelagem open source. Utiliza apenas duas categorias de ameaça: Elevação de Privilégio ou Negação de Serviço. A versão mais recente (2.0), baseada em palestras, não está disponível.
MISP - Malware Information Sharing Platform & Threat Sharing.
Security risk levels defined | Drupal.org.
OCRG1.1:Application Threat Modeling - OWASP.
Wikpedia - SWOT Analysis.
OpenIntegrity.
EFF SSD - Introduction to Threat Modeling.
Threat Assessment & Remediation Analysis (TARA).
Seasponge (código, sobre).
SAFETAG - Security Auditing Framework and Evaluation Template for Advocacy Groups.
ISO/IEC 27000 (ISO27K): padrão ISO/IEC para segurança da informação.
X.1051 : Information technology - Security techniques - Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations:
- ITU-T Rec. Series X Supplement 13 (09/2018) ITU-T X.1051 - Supplement on information security management users” guide

Exemplos de modelos de ameaça¶

Alguns exemplos de documentos de modelo de ameaça para software:

The Design and Implementation of The Tor Browser.
Tor design.
Mailpile.
Protonmail.
Tails.
I2P.
Freenet.
Cryptocat.
Pond.
TextSecure.

Políticas de segurança¶

Algumas referências e modelos de política de segurança: