O que é um modelo de ameaças? Pensar como um atacante
Um modelo de ameaças é uma forma estruturada de perguntar o que pode dar errado: quem pode atacar um sistema, o que quer e como pode conseguir.
Um modelo de ameaças é como as equipes raciocinam sobre segurança de forma deliberada, em vez de por intuição. Você mapeia o que está protegendo, quem pode atacá-lo, quais caminhos poderiam tomar e quais defesas são mais importantes. Para o CI/CD, a modelagem de ameaças esclarece por que certos controles, como tokens com escopo e runners efêmeros, valem o esforço.
As perguntas que ele responde
- O que estamos protegendo (ativos como secrets, código-fonte, acesso de deploy)?
- Quem pode atacá-lo e o que quer?
- Como poderiam entrar e o que os impediria?
Por que modelar ameaças
Sem um modelo de ameaças, a segurança se torna uma pilha de controles desconexos sem noção de prioridade. A modelagem força você a identificar os ativos de maior valor e os caminhos de ataque mais prováveis, para que o esforço vá aonde realmente reduz o risco.
Modelando as ameaças de um pipeline
Um pipeline de CI/CD é um alvo de alto valor: ele guarda credenciais e pode implantar em produção. Modelar suas ameaças revela preocupações como secrets vazados, dependências maliciosas, runners comprometidos e tokens amplos demais, cada um com uma mitigação correspondente.
Do modelo aos controles
Cada ameaça identificada mapeia para uma defesa. Preocupado com secrets de longa duração vazados? Use OIDC e tokens de curta duração. Preocupado com um runner lendo os dados de outro job? Use runners isolados e efêmeros. O modelo justifica os controles.
Mantendo-o atualizado
Os sistemas mudam, e suas ameaças também. Um modelo de ameaças é um documento vivo, revisitado quando você adiciona uma dependência, um destino de deploy ou uma integração. Um modelo desatualizado pode deixar passar justamente o caminho de ataque que um novo recurso introduziu.
O retorno prático
A modelagem de ameaças não exige formalidade pesada. Mesmo uma discussão curta e honesta de "como alguém abusaria deste pipeline?" antes de enviar uma mudança detecta riscos cedo, quando são baratos de resolver.
Principais conclusões
- Um modelo de ameaças mapeia ativos, atacantes, caminhos de ataque e defesas.
- Ele prioriza o esforço de segurança para os riscos de maior valor e mais prováveis.
- Modelar um pipeline justifica controles como tokens OIDC e runners efêmeros.