Alternativa E
O enunciado descreve uma metodologia de classificação de riscos focada em análise qualitativa, especificamente citando dois dos seus cinco critérios principais: dano e reprodutibilidade.
No contexto de segurança da informação e DevSecOps, o modelo que utiliza exatamente esses parâmetros é conhecido pela sigla DREAD. Este modelo foi criado pelo Microsoft para ajudar a priorizar vulnerabilidades e ameaças identificadas durante a modelagem de riscos.
Analise
- DREAD é um acrônimo composto por cinco métricas que avaliam a severidade de uma ameaça:
- Damage Potential (Potencial de Dano): O quão danosa é a exploração da vulnerabilidade.
- Reproducibility (Reprodutibilidade): Com que facilidade a vulnerabilidade pode ser explorada novamente.
- Exploitability (Explorabilidade): O quanto é fácil explorar a falha.
- Affected Users (Usuários Afetados): Quantos usuários finais seriam impactados.
- Discoverability (Descobribilidade): O quão fácil é descobrir a existência da falha.
- Strides (Opção B): Embora seja muito utilizado em DevSecOps, o STRIDE foca na classificação das categorias de ameaças (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege), não sendo uma ferramenta de pontuação quantitativa/qualitativa baseada nos critérios citados.
- NIST SP 800-61r2 (Opção A): É um guia de resposta a incidentes (Computer Security Incident Handling Guide), não uma metodologia de modelagem de ameaças com esses critérios específicos.
- Trike (Opção C) e PASTA (Opção D): São metodologias de modelagem de ameaças, mas possuem estruturas diferentes. O Trike foca em requisitos de negócio e o PASTA é um processo de sete etapas focado em simulação de ataque, sem utilizar a fórmula DREAD.
Conclusao
A descrição fornecida na questão corresponde perfeitamente à definição da metodologia DREAD, utilizada para classificar e priorizar riscos de segurança baseando-se em danos e reprodutibilidade, entre outros fatores. Portanto, a alternativa correta é a E.