Modelo de ameacas PASTA
O que é Modelo de ameacas PASTA?
Modelo de ameacas PASTAProcess for Attack Simulation and Threat Analysis, metodologia de modelagem de ameacas em sete etapas centrada no risco que alinha ameacas tecnicas ao impacto de negocio.
O PASTA (Process for Attack Simulation and Threat Analysis) e uma metodologia de modelagem de ameacas centrada no risco definida por Tony UcedaVelez e Marco Morana. Esta estruturado em sete etapas: definir objetivos, definir ambito tecnico, decomposicao da aplicacao, analise de ameacas, analise de vulnerabilidades e fraquezas, modelagem de ataques, e analise de risco e impacto. O PASTA enfatiza ligar ameacas tecnicas a objetivos e impactos de negocio quantificaveis, recorrendo a diagramas de fluxo de dados, bibliotecas de ataques e abuse cases. E muito escolhido por grandes empresas que precisam de um processo defensavel e repetivel alinhado com NIST, ISO 27005 e FAIR, e integra-se bem com ASVS, MITRE ATT&CK e CAPEC.
● Exemplos
- 01
Um banco realiza um workshop PASTA sobre a sua plataforma de pagamentos moveis para priorizar ameacas de fraude pelo impacto na receita.
- 02
Uso de padroes CAPEC na etapa 6 do PASTA para enumerar cenarios de ataque realistas contra uma API critica.
● Perguntas frequentes
O que é Modelo de ameacas PASTA?
Process for Attack Simulation and Threat Analysis, metodologia de modelagem de ameacas em sete etapas centrada no risco que alinha ameacas tecnicas ao impacto de negocio. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa Modelo de ameacas PASTA?
Process for Attack Simulation and Threat Analysis, metodologia de modelagem de ameacas em sete etapas centrada no risco que alinha ameacas tecnicas ao impacto de negocio.
Como funciona Modelo de ameacas PASTA?
O PASTA (Process for Attack Simulation and Threat Analysis) e uma metodologia de modelagem de ameacas centrada no risco definida por Tony UcedaVelez e Marco Morana. Esta estruturado em sete etapas: definir objetivos, definir ambito tecnico, decomposicao da aplicacao, analise de ameacas, analise de vulnerabilidades e fraquezas, modelagem de ataques, e analise de risco e impacto. O PASTA enfatiza ligar ameacas tecnicas a objetivos e impactos de negocio quantificaveis, recorrendo a diagramas de fluxo de dados, bibliotecas de ataques e abuse cases. E muito escolhido por grandes empresas que precisam de um processo defensavel e repetivel alinhado com NIST, ISO 27005 e FAIR, e integra-se bem com ASVS, MITRE ATT&CK e CAPEC.
Como se defender contra Modelo de ameacas PASTA?
As defesas contra Modelo de ameacas PASTA costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Modelo de ameacas PASTA?
Nomes alternativos comuns: Process for Attack Simulation and Threat Analysis, PASTA.
● Termos relacionados
- appsec№ 1150
Modelagem de ameaças
Análise estruturada que identifica os ativos, ameaças, vulnerabilidades e mitigações de um sistema para integrar a segurança desde o desenho.
- compliance№ 751
Metodo OCTAVE
Metodologia de avaliacao de risco de seguranca da informacao desenvolvida pelo SEI da CMU, focada no risco organizacional e operacional sobre ativos criticos.
- compliance№ 143
CAPEC
Common Attack Pattern Enumeration and Classification, catalogo publico mantido pela MITRE com padroes de ataque usados pelos adversarios para explorar fraquezas conhecidas.
- compliance№ 936
Gestão de riscos
Processo coordenado de identificar, analisar, avaliar, tratar, monitorizar e comunicar riscos para mantê-los dentro da tolerância definida pela organização.
- compliance№ 775
OWASP ASVS
Application Security Verification Standard da OWASP, catalogo de requisitos de seguranca testaveis para projetar, construir e verificar aplicacoes web e APIs.