# SEC01-BP07 Identificar e priorizar riscos usando um modelo de ameaça
<a name="sec_securely_operate_threat_model"></a>

 Use um modelo de ameaça para identificar e manter um registro atualizado de potenciais ameaças. Priorize as ameaças e adapte os controles de segurança para prevenir, detectar e responder. Revise e mantenha essas informações no contexto do cenário de segurança em evolução. 

A modelagem de ameaças fornece uma abordagem sistemática para ajudar a encontrar e resolver problemas de segurança no início do processo de design. Quanto mais cedo melhor, pois as mitigações têm um custo mais baixo em comparação com o final do ciclo de vida.

As etapas principais típicas do processo de modelagem de ameaças são:

1. Identificar ativos, atores, pontos de entrada, componentes, casos de uso e níveis de confiança e incluí-los em um diagrama de design.

1. Identificar uma lista de ameaças.

1. Para cada ameaça, identifique mitigações, que podem incluir implementações de controle de segurança.

1. Criar e revisar uma matriz de risco para determinar se a ameaça foi mitigada de forma adequada.

A modelagem de ameaças é mais eficaz quando feita no nível da workload (ou recurso de workload), garantindo que todo o contexto esteja disponível para avaliação. Revisitar e manter essa matriz à medida que o cenário de segurança evolui.

 **Nível de exposição a riscos quando esta prática recomendada não for estabelecida:** Baixo 

## Orientações para a implementação
<a name="implementation-guidance"></a>
+  Crie um modelo de ameaça: um modelo de ameaça pode ajudar a identificar e solucionar possíveis ameaças à segurança. 
  +  [NIST: Guide to Data-Centric System Threat Modeling (Guia para modelagem de ameaças de sistemas centrados em dados) ](https://csrc.nist.gov/publications/detail/sp/800-154/draft)

## Recursos
<a name="resources"></a>

 **Documentos relacionados:** 
+  [AWS Security Audit Guidelines (Diretrizes de auditoria de segurança da AWS) ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+  [Boletins de segurança ](https://aws.amazon.com/security/security-bulletins/)

 **Vídeos relacionados:** 
+  [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM)