SkillEngenhariaDiagnostica
Constructing Attack Tree
Decompõe uma ameaça crítica em caminhos de ataque defensivos para revelar lacunas de controle.
Ações
PerfilDev
ProfundidadeAlta
Idiomapt-BR
Objetivo
Em uma frase.
Modelar, em alto nível defensivo, como uma ameaça crítica poderia se concretizar. A árvore ajuda a decidir onde controles reduzem risco com maior eficiência.
Aplicação
Quando
faz sentido.
Usar
- Para ameaças críticas ou difíceis de explicar.
- Quando várias mitigações competem por prioridade.
- Ao comunicar risco para stakeholders não especialistas.
- Antes de planejar testes de segurança de alto valor.
Prompt
Instruções
para a IA.
Passo 1 - Definir objetivo raiz
Escreva a consequência que precisa ser impedida: acessar dados de outro usuário, executar ação administrativa, adulterar transação, exfiltrar token, derrubar serviço crítico.
### Passo 2 - Quebrar em subobjetivos
Modele caminhos em alto nível:
- Pré-condições.
- Credenciais necessárias ou ausência delas.
- Pontos de entrada.
- Falhas de validação/autorização.
- Dependências externas.
- Falhas de monitoramento.Use nós `OR` para alternativas e `AND` para passos que precisam ocorrer juntos.
Passo 3 - Anotar atributos defensivos
Para folhas importantes, estime:
- Dificuldade.
- Probabilidade.
- Impacto.
- Detectabilidade.
- Controle que bloqueia ou detecta.### Passo 4 - Identificar pontos de corte
Marque controles que quebram múltiplos caminhos: autorização centralizada, validação de schema, rate limit, assinatura de webhook, escopo de token, segredo rotacionado, alerta de abuso.
Constelação
Onde
ela vive.
Workflows que usam
Bundles que incluem