Update 02-decomposicaoApp.md

rayanepimentel · Mar 7, 2024 · 4277029 · 4277029
1 parent 594d1b5
commit 4277029
Showing 1 changed file with 1 addition and 77 deletions.
diff --git a/cursos/desenvolvimento-seguro/modelagem-ameaca/02-decomposicaoApp.md b/cursos/desenvolvimento-seguro/modelagem-ameaca/02-decomposicaoApp.md
@@ -2,84 +2,8 @@
 
 # Decomposição da aplicacão
 
+<img width="338" alt="image" src="https://github.com/rayanepimentel/InfoSec-iniciante/assets/37915359/25829c34-87c8-4d3a-b678-7fa54c495ffb">
 
-Link do canva para melhor visualização: [Canva - Modelagem de ameaça](https://www.canva.com/design/DAF9nm9HgJE/hrleeqIZqQrYostRDqRDbA/view?utm_content=DAF9nm9HgJE&utm_campaign=designshare&utm_medium=link&utm_source=editor)
-
-![Canva - Modelagem de ameaça](https://github.com/rayanepimentel/InfoSec-iniciante/assets/37915359/be4a06e5-f726-4d74-a14a-b4a7d555ac16)
-
-## Inicio
-
-
-Para iniciar a modelagem de ameaça, você precisa entender que são "agentes de ameaça" e responder 4 perguntas:
-
-    O que você está construindo?
-    O que pode dar errado?
-    O que você deve fazer em relação a essas coisas que podem dar errado?
-    Você fez um bom trabalho de análise?
-
-### O que você está construindo?
-
-Podemos representar em forma de diagramas:
-
-É uma aplicação web, que tem um servidor, uma lógica de negócio e um banco de dados.
-
-<img width="500" alt="image" src="https://github.com/rayanepimentel/InfoSec-iniciante/assets/37915359/280ca9a4-a6e8-4650-89cf-b1858bf83888">
-
-
-Depois começa as perguntas: 
-
-    Esse site web é para toda internet ou é intranet? 
-    o banco de dados tá hospedado em qual provedor? 
-    ...
-
-Depois de responder-las, você pode melhorar o seu diagrama. Você pode dividir em limites de confiança. 
-
-    Server: interno (empresa)
-    Database: externo (XPTO)
-
-
-<img width="500" alt="image" src="https://github.com/rayanepimentel/InfoSec-iniciante/assets/37915359/cc451c39-19c9-4be6-af46-97284bfb6358">
-
-### O que pode dar errado?
-
-Com base no diagrama anterior, você começa a fazer perguntas sobre o que pode dar errado, o que não deveria acontecer.
-
-    O que acontece se um usuário alterar um dado do banco de dados?
-    Ao criar um login os dados são armazenados e criptgrafados? 
-
-Ao responden-las, você terá uma lista de possíveis vulnerabilidades.
-
-### O que você deve fazer em relação a essas coisas que podem dar errado?
-
-Com uma lista de ameaças encontradas no passo anterior, o próximo passo é percorrer cada item e desenvolver estratégias para enfrentá-las. Para cada ameaça identificada, você tem a opção de adotar uma das quatro abordagens: **mitigar, eliminar, transferir ou aceitar**.
-
-|Risco | Definição |
-|------|-----------|
-|**Mitigar**| É quando são tomadas ações para reduzir a probabilidade (de ocorrer) e/ou o (potencial) impacto negativo dela.| |
-|**Eliminar**| É quando são tomadas ações para remover essa ameaça do projeto.| |
-|**Transferir**| É quando o impacto dela é transferido/compartilhado para terceiros.| |
-|**Aceitar** | É quando não é tomada nenhuma ação para lidar com ela. O custo para mitigar essa vulnerabilidade é alto e a probabilidade de ocorrer é baixa. | 
-
-Exemplo de mitigação:
-
-|Alvo | Estratégia de mitigação | Técnica de mitigação |
-|-----|------------|-----------|
-|Login(alguém se passando por outro usuário) | Identificação e autenticação de login(o sistema sabe/tem) | Senha, Tokens e MFA|
-|Monitoramento de rede| Criptografia | HTTPS/SSL e IPsec |
-|Segurança de Dados|Proteção de dados|Criptografia de dados, autenticação forte, firewalls|
-
-
-### Você fez um bom trabalho de análise?
-
-Analisando tudo o que foi feito, responda:
-
-
-    Isso está completo?
-    É preciso?
-    Ele cobre todas as decisões de segurança que fizemos?
-    Posso começar a próxima versão com este diagrama sem nenhuma mudança?
-
-Se você respondeu todas sim, é porque o seu diagrama já pode ir para o próximo passo. Se não, você precisa atualiza-ló.
 
 ## Processo