Índice
- Por que a modelação genérica de ameaças falha para utilizadores conscientes de tecnologia
- EFF SSD adaptado: ativos, adversários, capacidades
- STRIDE para perfis não-corporativos
- Matriz de risco: desenvolvedor solo em Mac, iPhone, GitHub, AWS
- Mitigações por nível
- Seis perfis: ativos, adversários, mitigações prioritárias
- Revisão anual: lista de verificação de reavaliação
O que é a modelação de ameaças para utilizadores técnicos?
A modelação de ameaças é um processo estruturado para identificar quais ativos você possui, quem pode atacá-los, quais capacidades eles têm e quais mitigações reduzem os maiores riscos primeiro. Para profissionais técnicos — desenvolvedores, administradores de sistemas, mantenedores de OSS — a lista de ativos inclui credenciais de nuvem, pipelines CI/CD e registradores de domínios, não apenas contas pessoais. O objetivo é tomar decisões de segurança priorizadas e baseadas em evidências.
Por que a modelação genérica de ameaças falha para utilizadores conscientes de tecnologia
O NIST Cybersecurity Framework 2.0 (publicado em fevereiro de 2024) é um documento sólido de governança. Não lhe diz o que fazer quando um mantenedor de OSS aleatório descobre que um PR malicioso acabou de ser integrado num pacote com 40.000 downloads semanais. Conselhos genéricos de segurança para consumidores — "use um gestor de senhas, ative 2FA" — são necessários mas não suficientes para quem tem uma superfície digital que se parece com: três organizações no GitHub, uma conta root na AWS, um pipeline CI com chaves de implementação, um endpoint SSH público, DNS gerido através do Cloudflare, e uma máquina de desenvolvimento que também acede a bancos pessoais.
A lacuna não é sobre sofisticação. É sobre especificidade. Guias para consumidores modelam um perfil de ameaça de "sequestro de conta por atacante oportunista." O perfil de ameaça realista de um desenvolvedor ou administrador de sistemas inclui: injeção direcionada na cadeia de fornecimento, exfiltração de segredos CI/CD, roubo de chaves SSH de um repositório de dotfiles comprometido, e engenharia social de alguém que leu o seu histórico de commits e conhece a sua pilha de implementação.
A Defesa Contra Vigilância da EFF (ssd.eff.org) enquadra corretamente a segurança como uma função da sua situação específica — ativos, adversários, capacidades, probabilidade, consequências. Os guias focados no consumidor pulam o primeiro passo: enumerar precisamente o que você realmente tem que vale a pena atacar.
Por esta razão, a metodologia abaixo começa com a enumeração de ativos específicos para profissionais técnicos, depois mapeia adversários com avaliações realistas de capacidade, antes de tocar em qualquer recomendação de mitigação.
Veja o guia principal sobre privacidade do navegador em 2026 para o panorama mais amplo de privacidade em que este modelo de ameaça se insere. Termos-chave usados ao longo deste guia — STRIDE, modelo de ameaça, ataque à cadeia de fornecimento, zero-day, sandboxing — são definidos no glossário de privacidade e segurança do navegador.
EFF SSD adaptado: ativos, adversários, capacidades
Enumeração de ativos para profissionais técnicos
Antes de categorizar ameaças, enumere o que você realmente possui. Para um desenvolvedor independente típico ou mantenedor de OSS em 2026, o inventário de ativos divide-se em cinco categorias:
Ativos de identidade: Contas GitHub/GitLab (ligadas a uma reputação pública e permissões organizacionais), contas root de provedores de nuvem (AWS, GCP, Azure), contas de registradores de domínios (a raiz da sua presença na web), contas de email (o caminho de recuperação para tudo o resto), e contas de registros de pacotes (npm, PyPI, crates.io — o raio de explosão de um comprometimento aqui estende-se a todos os consumidores a jusante).
Ativos de infraestrutura: Servidores de produção e containers, zonas DNS, certificados TLS e configurações de CA, chaves SSH (especialmente chaves de implementação com acesso de escrita a repositórios), funções IAM de nuvem e contas de serviço, segredos armazenados em arquivos .env ou gestores de segredos.
Ativos de código: Repositórios privados, configurações de pipelines CI/CD, arquivos de bloqueio de dependências, chaves de assinatura para assinatura de commits ou lançamentos de pacotes.
Ativos financeiros: Contas de processadores de pagamento Stripe, métodos de pagamento para renovação de domínios, carteiras de criptomoedas, se aplicável.
Ativos de reputação: Seu histórico público de commits, seu acesso de publicação de pacotes, suas contas sociais ligadas à sua identidade profissional.
Taxonomia de adversários
A EFF SSD usa uma taxonomia de adversários de cinco níveis. Adaptado ao perfil de praticante técnico:
Atacantes oportunistas escaneiam a internet em busca de credenciais expostas, serviços não corrigidos e senhas reutilizadas. São automatizados, de alto volume e baixa sofisticação. Encontrarão sua instância EC2 com a porta 22 aberta em minutos após o lançamento se estiver num intervalo de IP residencial. Esta é a ameaça base que os fundamentos de segurança abordam.
Atacantes direcionados (criminosos ou competitivos) identificaram você especificamente como um alvo de valor financeiro. Eles irão criar spearphishing contra sua pilha específica, tentar injeção na cadeia de fornecimento em suas dependências e monitorar sua atividade pública para inteligência operacional. Alcançar este nível requer receita significativa, custódia de dados valiosos ou visibilidade num espaço financeiramente interessante.
Atores de nação-estado operam com persistência essencialmente ilimitada e um amplo conjunto de capacidades zero-day. Para a maioria dos praticantes, este nível de ameaça requer circunstâncias excepcionais: trabalhar em infraestrutura governamental sensível, ser um dissidente político ou ser um jornalista cobrindo serviços de inteligência. A existência deste nível importa para calibração — você não deve projetar todas as mitigações para resiliência a nações-estado, pois a relação custo/complexidade é insustentável para a maioria das situações.
Ameaças internas são pessoas com acesso legítimo que agem de forma maliciosa ou negligente. Para praticantes solo, isso é menos relevante; para mantenedores de OSS com múltiplos colaboradores, é significativo — uma conta de mantenedor comprometida, um colaborador descontente com direitos de mesclagem ou um commit secreto acidental de um colaborador de confiança caem aqui.
Matriz de capacidades — para cada tipo de adversário, avalie quais recursos eles têm: bases de dados de credenciais, infraestrutura para phishing, exploits zero-day, compulsão legal, acesso físico. Cruzar o valor do ativo contra a capacidade do adversário produz o espaço de ameaça realista que você precisa abordar.
Como aplicar o framework STRIDE como desenvolvedor individual?
O STRIDE categoriza ameaças em seis classes aplicáveis à infraestrutura pessoal:
- Falsificação — sequestro de conta via phishing ou preenchimento de credenciais (mitigar com chaves de hardware FIDO2)
- Adulteração — dependência maliciosa ou pipeline CI comprometido (mitigar com Sigstore, arquivos de bloqueio fixados)
- Repudiação — incapacidade de provar autoria de commit (mitigar com assinatura de commit SSH/GPG)
- Divulgação de Informação — arquivos .env ou chaves API vazadas (mitigar com varredura de segredos pré-commit)
- Negação de Serviço — DDoS na sua API ou exaustão de orçamento CI (mitigar com Cloudflare, limites de taxa)
- Elevação de Privilégio — pipeline CI com acesso de escrita aceitando código PR não confiável (mitigar com federação OIDC)
O framework STRIDE da Microsoft (1999, Adam Shostack) categoriza ameaças em seis classes. As equipas de segurança corporativa aplicam-no a diagramas de fluxo de dados de arquiteturas de aplicações. Para praticantes individuais, aplique-o à sua topologia de infraestrutura pessoal.
Falsificação (sequestro de conta). A ameaça de falsificação para um desenvolvedor é principalmente o sequestro de conta: alguém se faz passar por você no GitHub, no seu console de nuvem ou no seu registrador para realizar ações sob sua identidade. Os vetores de ataque incluem: preenchimento de credenciais de bases de dados comprometidas, proxies de phishing em tempo real (Evilginx2 pode contornar TOTP 2FA), troca de SIM (para interceptar SMS 2FA) e roubo de tokens OAuth através de Apps maliciosos do GitHub. A mitigação é a autenticação resistente a phishing — chaves de hardware FIDO2 — para contas onde um spoof bem-sucedido tem alto raio de explosão.
Adulteração (cadeia de fornecimento). Um artefato adulterado significa que código modificado chega à produção ou aos utilizadores finais. Para um desenvolvedor, isso se manifesta como: um PR malicioso mesclado sem revisão adequada, um aumento de versão de dependência que introduz uma backdoor (xz utils, event-stream), um ambiente de build comprometido que assina um binário modificado ou um token de publicação npm roubado. A pilha de mitigação inclui: Sigstore/cosign para assinatura de artefatos, arquivos de bloqueio fixados com verificação de hash, portões de revisão de código que não confiam em bots automatizados e níveis de proveniência SLSA.
Repudiação (trilhas de auditoria). Você pode provar o que aconteceu e quem o fez? A assinatura de commits Git com chaves SSH ou GPG estabelece um registro à prova de adulteração de mudanças de código. Commits assinados não previnem ataques, mas estabelecem responsabilidade — crítico se você precisar demonstrar aos utilizadores a jusante que um commit específico não foi de sua autoria. CloudTrail e logs de auditoria equivalentes para ações na nuvem servem à mesma função.
Divulgação de informação (segredos vazados). O incidente de alto impacto mais frequente no mundo dos desenvolvedores. Um arquivo .env comprometido num repositório público, uma chave AWS num log de Ações do GitHub, uma string de conexão de base de dados numa mensagem de erro ou uma chave privada embutida numa camada de imagem Docker. git-secrets, truffleHog e a varredura de segredos do GitHub capturam segredos comprometidos; hooks pré-commit os impedem de serem enviados. Rodar credenciais imediatamente após qualquer suspeita de divulgação é inegociável.
Negação de Serviço (disponibilidade). Para um desenvolvedor solo hospedando um produto SaaS, um DDoS sustentado pode eliminar receita. Mais sutil: limitação de taxa nas suas chamadas API do GitHub ou exaustão do pipeline CI/CD através de uma dependência criada que aciona tempos de build excessivos. A mitigação no nível base é Cloudflare ou proteção CDN/DDoS equivalente na frente de endpoints públicos. No nível de infraestrutura, garanta que uma única dependência comprometida não tenha a capacidade de esgotar seu orçamento CI.
Elevação de privilégio (pipelines CI/CD). Um pipeline CI que roda com acesso de escrita ao ambiente de produção e aceita código arbitrário de pull requests é um vetor de EoP: um atacante submete um PR que exfiltra chaves de implementação ou escreve código malicioso para produção. O GitHub Actions mitiga isso com o evento pull_request tendo GITHUB_TOKEN apenas de leitura por padrão, mas muitos repositórios sobrescrevem isso. Fluxos de trabalho separados para PRs não confiáveis (apenas leitura, sem segredos) de mesclagens confiáveis (acesso de implementação) é a arquitetura correta. A federação OIDC elimina credenciais de longa duração no CI completamente.
Matriz de risco: desenvolvedor solo em Mac, iPhone, GitHub, AWS
Um exemplo concreto: um desenvolvedor solo executando um produto SaaS em Mac (estação de trabalho principal), iPhone (dispositivo 2FA e comunicação pessoal), GitHub (código e CI/CD) e AWS (infraestrutura de produção). Avaliando cada vetor usando uma escala simplificada de probabilidade × impacto de 1–5:
| Vetor de ameaça | Classe STRIDE | Probabilidade | Impacto | Pontuação | Prioridade |
|---|---|---|---|---|---|
| Sequestro de conta GitHub via phishing | Falsificação | 3 | 5 | 15 | Crítico |
| Vazamento de credencial root AWS (.env comprometido) | Divulgação de Informação | 3 | 5 | 15 | Crítico |
| Dependência maliciosa na cadeia npm | Adulteração | 4 | 3 | 12 | Alto |
| Exfiltração de chave de implementação CI | Elevação de Privilégio | 2 | 5 | 10 | Alto |
| Roubo de chave SSH do Mac | Falsificação | 2 | 4 | 8 | Alto |
| Ataque de troca de SIM no telefone 2FA | Falsificação | 2 | 4 | 8 | Alto |
| Sequestro de conta Cloudflare | Falsificação | 2 | 4 | 8 | Alto |
| DDoS na API de produção | Negação de Serviço | 3 | 2 | 6 | Médio |
| Segredo de webhook Stripe vazado | Divulgação de Informação | 2 | 3 | 6 | Médio |
| Commits não assinados permitindo repudiação | Repudiação | 3 | 2 | 6 | Médio |
| Configuração incorreta de bucket S3 | Divulgação de Informação | 2 | 3 | 6 | Médio |
| Conta de serviço IAM com permissões excessivas | Elevação de Privilégio | 3 | 2 | 6 | Médio |
Esta matriz diz-lhe onde focar primeiro: proteção de conta GitHub e root AWS, além de prevenção de vazamento de .env. Tudo o resto é importante, mas não está em primeiro lugar na fila.
Para referência na pontuação CVSS 3.1 de vulnerabilidades específicas nas suas dependências, a base de dados NVD (nvd.nist.gov) fornece pontuações base para CVEs; modificadores ambientais e temporais permitem ajustar pontuações ao seu contexto de implementação.
Mitigações por nível
Base (todos os praticantes técnicos, sem exceções)
Chaves de hardware FIDO2 e passkeys para GitHub, consoles de nuvem, registradores de domínios e email. Estas são as contas onde o sequestro de conta tem o maior raio de explosão. Uma conta de registrador comprometida permite que um atacante assuma todos os domínios e certificados associados. Uma conta GitHub comprometida permite que eles enviem código malicioso e exfiltrem todos os segredos do repositório.
2FA baseado em TOTP (Ente Auth, Aegis, 1Password TOTP) para cada conta que não suporta passkeys. TOTP não é resistente a phishing, mas derrota o preenchimento de credenciais em escala. SMS 2FA é pior que TOTP para contas associadas a um número de telefone conhecido — a troca de SIM é um vetor de ataque documentado.
Gestor de senhas com credenciais únicas e geradas aleatoriamente para cada conta. Bitwarden e 1Password ambos integram ferramentas CLI para uso em automação. Veja o guia de gestores de senhas para engenheiros para detalhes de integração CLI.
Hook de varredura de segredos pré-commit. Instale truffleHog ou git-secrets como um hook pré-commit. Execute git log --all --full-history contra seus repositórios existentes para auditar vazamentos históricos.
Bloqueio de conta root AWS. As credenciais root da AWS devem ter MFA ativado com uma chave de hardware, e a conta root não deve ter chaves de acesso geradas. Todo o acesso operacional deve usar funções IAM com políticas de menor privilégio.
Intermediário
Chave de segurança de hardware dedicada (YubiKey 5 NFC ou equivalente). O YubiKey 5 suporta FIDO2, PIV, OpenPGP e OTP num único dispositivo. Para FIDO2, registre duas chaves e armazene o backup num local fisicamente separado.
Máquina de desenvolvimento ou VM separada para operações de maior sensibilidade. Se a sua máquina de uso diário executa npm install arbitrário de muitos projetos, seu armazenamento de credenciais está exposto a qualquer pacote que execute um script de instalação malicioso. Uma VM dedicada e reforçada com apenas as ferramentas necessárias para acesso a contas financeiras ou gestão de infraestrutura sensível limita o raio de explosão de um comprometimento da estação de trabalho.
Assinatura de commits. Configure a assinatura de commits SSH (suportada pelo GitHub desde 2022) ou assinatura GPG para todos os commits. Ative regras de proteção de branch exigindo commits assinados em branches principais/de lançamento.
Cron de auditoria. Uma verificação automatizada semanal: aws iam generate-credential-report para revisar credenciais IAM, gh api /user/installations para auditar permissões de Apps do GitHub, dig axfr verificações equivalentes para mudanças DNS não autorizadas. Estes são sinais detectáveis de comprometimento de conta que ocorrem antes que um atacante alcance seu objetivo.
Fixação de dependências com verificação de hash. Bloqueie dependências a SHAs de commit específicos ou hashes endereçados por conteúdo, não intervalos de versão semântica flutuantes. Para npm, npm ci com um package-lock.json comprometido; para Python, pip-compile com requisitos hashed; para Go, go.sum já é baseado em hash.
Avançado
Tailscale (ou Headscale) para acesso à infraestrutura. Não exponha nada na internet pública que não precise ser público. SSH, painéis de administração, painéis de monitoramento e ambientes de teste pertencem a uma malha Tailscale. Emparelhe com ACLs Tailscale para impor acesso de rede de menor privilégio entre dispositivos. Headscale (servidor de coordenação auto-hospedado) elimina a dependência na infraestrutura de coordenação do Tailscale.
Perfis de navegador separados por contexto. Contas financeiras, trabalho de desenvolvimento, navegação geral e redes sociais devem ser executados em perfis de navegador isolados ou binários de navegador separados. O Firefox com Multi-Account Containers alcança isolamento a nível de container dentro de um único binário. Isso previne correlação de cookies e sessões entre contextos. Veja o guia de detecção de vazamento de rede para metodologia de detecção, e use nossa ferramenta de teste de impressão digital do navegador para verificar quanto da sua identidade de canvas e WebGL é transportada entre trocas de perfil.
Ambiente de build isolado. CI deve rodar em ambientes efêmeros sem credenciais persistentes. Para builds locais, um container ou VM sem montagem de credenciais do host garante que um script de build malicioso não possa colher o agente SSH do host, credenciais de nuvem ou chaveiro.
VPN para contextos de rede sensíveis. Uma VPN auditada sem logs em redes não confiáveis (Wi-Fi público, ethernet de hotel) previne interceptação passiva de tráfego não criptografado e esconde seu IP dos servidores de destino. O guia de VPN para utilizadores conscientes de tecnologia cobre a metodologia de avaliação para provedores. Emparelhe com nosso verificador de cabeçalhos de segurança HTTP para auditar os cabeçalhos que seus próprios serviços web expõem a observadores passivos.
Seis perfis: ativos, adversários, mitigações prioritárias
| Perfil | Ativos principais | Adversários realistas | Top 3 mitigações |
|---|---|---|---|
| Dev indie (SaaS) | Conta GitHub, credenciais AWS/Stripe, registrador de domínios | Preenchimento de credenciais oportunista, phishing direcionado após receita visível | 1. FIDO2 no GitHub + root AWS, 2. prevenção de vazamento de .env, 3. navegador separado para financeiro |
| Mantenedor de OSS | Tokens de publicação npm/PyPI, acesso de mesclagem de repositório, chave de assinatura de commit | Atacantes da cadeia de fornecimento, sequestro de conta para envenenamento a jusante | 1. Chave de hardware para registro de pacotes, 2. Proveniência SLSA, 3. cron de auditoria para lançamentos inesperados |
| Investigador de segurança | Ambiente de pesquisa, código PoC, registros de divulgação de vulnerabilidades | Phishing direcionado (você possui vulnerabilidades pré-divulgação), ameaças internas em fornecedores coordenadores | 1. VM de pesquisa isolada, 2. disco criptografado para armazenamento de PoC, 3. chave de hardware no email |
| Jornalista (técnico) | Comunicações de fontes, notas e documentos, email | Vigilância de nação-estado, comprometimento direcionado de dispositivo | 1. Signal para fontes, 2. Tor Browser para pesquisa sensível, 3. dispositivo separado para contato com fontes |
| Detentor de cripto | Frase-semente de carteira de hardware, contas de câmbio, chaves de carteira DeFi | Roubo direcionado, troca de SIM para 2FA de câmbio, ataque de chave inglesa de $5 | 1. Backup de semente de metal em local seguro, 2. sem 2FA por SMS em câmbios, 3. Yubikey para contas de câmbio |
| Administrador de sistemas (MSP/solo) | Chaves SSH root, acesso à infraestrutura do cliente, painéis de monitoramento | Phishing direcionado via personificação de cliente, ameaça interna, operadores de ransomware | 1. Tailscale para todo acesso SSH, 2. contas de emergência com chave de hardware + MFA offline, 3. estratégia de backup imutável |
Exemplo trabalhado: uma configuração coerente para um dev indie
Para tornar os níveis acima concretos, aqui está como as recomendações se compõem numa única configuração coerente para o perfil "dev indie (SaaS)", avaliado contra um nível de ameaça de phishing oportunista mais direcionado. Trate-o como uma referência ilustrativa de arquitetura, não uma prescrição — sua lista de ativos determina o que realmente se aplica.
Chaves de segurança de hardware: duas chaves FIDO2 (por exemplo, um YubiKey 5 NFC como principal e um 5C NFC como backup armazenado num local fisicamente separado), ambas registradas no GitHub, Cloudflare, no registrador de domínios e no email/administração do espaço de trabalho. TOTP (Ente Auth, Aegis ou 1Password) cobre contas que não suportam chaves de hardware, com um backup local criptografado em vez de uma sincronização na nuvem, e códigos de recuperação de emergência impressos e armazenados offline.
Compartimentação da estação de trabalho: perfis de navegador separados por contexto — por exemplo dev (GitHub, consoles de nuvem, painéis CI, npm), financeiro (banco, Stripe, processadores de pagamento, câmbios), editorial (CMS, análises, social) e pessoal. Executar o contexto financeiro num binário de navegador distinto numa conta de usuário de SO separada fortalece o isolamento. Você pode usar o teste de impressão digital do navegador para verificar quanto da sua identidade de canvas e WebGL é transportada entre trocas de perfil versus entre binários separados.
Gestão de segredos: um gestor de senhas com integração CLI (por exemplo op run --env-file) para segredos de aplicativos, credenciais AWS intermediadas através de uma ferramenta como aws-vault com MFA de hardware em chamadas de token de sessão para que nenhuma chave de acesso de longa duração fique no disco, e um scanner de segredos pré-commit (gitleaks detect --staged, truffleHog ou git-secrets) que bloqueia commits acidentais de chaves antes de serem enviados.
Acesso à infraestrutura: uma malha Tailscale (ou Headscale) sem porta 22 exposta publicamente — painéis de administração, Grafana e teste na faixa 100.x.x.x apenas, com regras ACL restringindo quais dispositivos podem alcançar produção versus monitoramento apenas leitura.
Rede: uma VPN auditada sem logs em redes não confiáveis, filtragem a nível de DNS (como Pi-hole) na sua rede doméstica, e um túnel base em dispositivos móveis contra interceptação passiva em celular.
Uma armadilha comum: um pipeline CI/CD mantém credenciais de nuvem estáticas em segredos de Ações do GitHub porque a federação OIDC está sempre "na lista." Vale a pena fazer cedo — tokens OIDC de curta duração removem um segredo permanente que um fluxo de trabalho comprometido poderia exfiltrar. A migração é tipicamente algumas horas de trabalho em alguns fluxos de trabalho, muito menos do que o esforço que as pessoas assumem; a complexidade percebida da abordagem correta tende a atrasá-la muito mais do que a implementação real justificaria.
Revisão anual: lista de verificação de reavaliação
Um modelo de ameaça não é um documento que você produz uma vez e arquiva. A superfície de ameaça muda à medida que sua atividade muda. Os seguintes eventos requerem uma reavaliação imediata:
Eventos desencadeadores que requerem reavaliação imediata:
- Novo projeto torna-se publicamente visível (lançamento no ProductHunt, estrelas no GitHub ultrapassando 1.000, menção na imprensa)
- Você ganha acesso administrativo a infraestrutura que não controlava antes
- Um incidente de segurança toca qualquer conta no seu ecossistema, mesmo que indiretamente
- Receita ultrapassa um limite que torna o ataque financeiro economicamente racional
- Você recebe uma mensagem que pode ser engenharia social direcionada
- Seu nome aparece num contexto que aumenta o risco de doxxing
Lista de verificação de reavaliação anual:
- Re-enumere todos os ativos. Quais contas existem que não existiam há seis meses? Que serviços você adicionou à sua pilha?
- Audite tokens de acesso. Execute
gh auth list,aws iam list-access-keys --user-name <todos os usuários>,gcloud auth list. Revogue qualquer coisa não ativamente usada. - Revise métodos de 2FA. Alguma conta foi rebaixada de chave de hardware para TOTP, ou de TOTP para SMS? Corrija regressões.
- Verifique segredos expostos. Execute truffleHog em todos os repositórios, incluindo os privados. Execute Grype ou equivalente contra imagens de container.
- Atualize arquivos de bloqueio de dependências. Fixe para versões conhecidas e boas atuais, revise o changelog para mudanças relevantes de segurança.
- Revise políticas IAM de nuvem. O princípio do menor privilégio erode ao longo do tempo à medida que permissões são adicionadas por conveniência e nunca removidas.
- Teste a restauração de backup. Um backup não testado não é um backup. Verifique se suas imagens de disco criptografadas, snapshots de base de dados e backups de frases-semente estão intactos e recuperáveis.
- Reavalie o nível de adversário. Alguma coisa no seu perfil profissional ou público mudou que o elevaria a um alvo de maior valor?
A função Govern do NIST CSF 2.0 formaliza este tipo de ciclo de melhoria contínua a nível organizacional. Para indivíduos, o equivalente é um lembrete no calendário, uma lista de verificação estruturada e a disciplina para executá-la mesmo quando nada deu visivelmente errado.
A EFF publica guias atualizados em ssd.eff.org numa base contínua. A Matriz ATT&CK da MITRE (attack.mitre.org) é atualizada trimestralmente com novas técnicas de adversários derivadas de incidentes reais — útil para verificar se novas TTPs são relevantes para o seu perfil.
Construir um modelo de ameaça confiável não é um exercício de uma tarde. É o hábito de perguntar sistematicamente, para cada mudança significativa na sua superfície de ataque: o que um adversário poderia fazer com isso, e o custo de preveni-lo é menor do que o custo do incidente? Os frameworks acima — EFF SSD, STRIDE, pontuação CVSS 3.1 — fornecem uma linguagem reprodutível para essa conversa, seja consigo mesmo, seus colaboradores ou um profissional de segurança que você consulta quando as apostas são altas o suficiente para justificar uma revisão externa.
