Seguridad de software

Enviado por PAULFER2011 • 13 de Junio de 2022 • Ensayos • 2.846 Palabras (12 Páginas) • 64 Visitas

Página 1 de 12

Asignatura	Datos del alumno	Fecha
Seguridad en el Software	Apellidos: Machado Soto	06-mayo-2022
Nombre: Paúl Fernando

Actividad: Metodologías de modelado de amenazas

Objetivos de la actividad

Una amenaza para cualquier sistema es cualquier actor, agente, circunstancia o evento que tiene el potencial de causarle daño, o de hacerlo a sus datos y recursos. Con la presente actividad se pretende conseguir los siguientes objetivos:

Estudiar y analizar las diferentes metodologías de amenazas.
Comparar las diferentes metodologías de amenazas.
Realizar una propuesta de una nueva metodología de amenazas con base en el análisis realizado de las metodologías existentes.

Introducción al modelado de amenazas.

El modelado de amenazas se una táctica de ingeniería en la que supone una representación de una aplicación web o de la infraestructura de una organización en la que se puedan identificar posibles amenazas y vulnerabilidades en fases tempranas de los proyectos. De esta forma las empresas consiguen ahorrarse esfuerzos en concepto de coste y tiempo.

Estudio de metodologías existentes. Se incluirá un resumen de las principales características de las metodologías siguientes:

CORAS (Consultative Objective Risk Analysis System).

CORAS es un proyecto creado por la Unión Europea con el objetivo de proporcionar un framework orientado a sistemas donde la seguridad es crítica, facilitando el descubrimiento de vulnerabilidades de seguridad, inconsistencias, y redundancias.

CORAS proporciona un método basado en modelos, para realizar análisis de riesgos, y se basa en el uso de tres componentes:

Un lenguaje de modelado de riesgos basado en el UML.
La metodología CORAS, una descripción paso a paso del proceso de análisis con una directriz para construir los diagramas CORAS.
Una herramienta para documentar, mantener y crear los informes del análisis.

Aunque no es exactamente un framework para el modelado de amenazas, su uso orientado a tal fin, puede contribuir a la reducción de riesgos y la adopción de unas correctas contramedidas.

La metodología CORAS, hace un uso intensivo de los diagramas. Existen 5 tipos

diferentes:

Diagrama superficial de activos: Muestra una visión general de los activos y cómo el daño sobre un activo puede afectar al resto.

Diagrama de amenazas: Muestra una visión completa de la secuencia de eventos iniciados por las amenazas y las consecuencias que tienen éstas sobre los activos. Sus componentes básicos se muestran en el ejemplo inferior, y son: amenazas deliberadas, amenazas accidentales, amenazas no-humanas, vulnerabilidades, escenarios de amenazas, incidentes no deseados y activos.

Diagrama superficial de riesgo: Es un resumen del diagrama de amenazas, mostrando los riesgos. Tiene 5 componentes básicos: amenazas deliberadas, accidentales y no-humanas, riesgos y activos. A cada riesgo se le asigna un valor.

Diagrama de tratamiento: ofrece una visión completa de las contramedidas propuestas. Se basa en el diagrama de amenazas, sustituyendo las consecuencias del impacto sobre los activos con los riesgos procedentes del diagrama superficial de riesgo, y añadiendo los escenarios de contramedidas propuestos.

Diagrama superficial de tratamiento: es un resumen de las contramedidas, añadiendo los distintos escenarios posibles y mostrando las relaciones entre los distintos elementos propuestos para tratar el riesgo.

CIGITAL's architectural risk analysis process. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation). SEI de la Universidad Carnegie Mellon.

Cigital utiliza un proceso de análisis de riesgo arquitectónico, con tres subprocesos:

Análisis de resistencia a ataques.- pretende capturar el enfoque similar a una lista de verificación para el análisis de riesgos adoptado en el enfoque STRIDE de Microsoft. La esencia de la idea es utilizar información sobre ataques conocidos, patrones de ataque y vulnerabilidades durante el proceso de análisis. Es decir, dada la descripción general de una página, ¿cómo le va al sistema frente a los ataques conocidos? Cuatro pasos están involucrados en este subproceso.

Análisis de ambigüedad.- es el subproceso que captura la actividad creativa requerida para descubrir nuevos riesgos. Este proceso, por definición, requiere al menos dos analistas (cuantos más, mejor) y cierta experiencia. La idea es que cada miembro del equipo lleve a cabo actividades de análisis separadas en paralelo.

Análisis de debilidad.- es un subproceso destinado a comprender el impacto de las dependencias de software externo. El software moderno generalmente se construye sobre marcos de middleware complejos como .NET y J2EE. Además, casi todo el código cuenta con bibliotecas externas como DLL o bibliotecas de lenguaje común como glibc. Para empeorar las cosas, el código distribuido una vez que la interesante excepción arquitectónica se ha convertido en la norma. Con la rápida evolución del software, ha surgido una gran cantidad de problemas causados por la vinculación (o contar con) cosas rotas. La definición de Leslie Lamport de un sistema distribuido como "aquel en el que la falla de una computadora que ni siquiera sabías que existía puede hacer que tu propia computadora quede inutilizable" describe exactamente por qué el problema de la debilidad es difícil.

OCTAVE, que significa evaluación de amenazas, activos y vulnerabilidades operativamente críticas, es una metodología de modelado de amenazas desarrollada en la Universidad Carnegie Mellon que se enfoca en riesgos organizacionales más que tecnológicos. Consta de tres fases:

Crear perfiles de amenazas basados en activos
Identificar la vulnerabilidad de la infraestructura
Desarrollar una estrategia y planes de seguridad

PTA Technologies Calculative Threat Modeling Methodology (CTMM).

Análisis práctico de amenazas (PTA): es una metodología de modelado de amenazas calculada y una herramienta de evaluación de riesgos de amenazas que ayudan a los consultores y analistas de seguridad a evaluar los riesgos operativos y de seguridad en sus sistemas y a crear una política de mitigación de riesgos adecuada. El papel de un proceso práctico de análisis de amenazas es identificar las vulnerabilidades del sistema, mapear los activos del sistema, evaluar el riesgo de las amenazas y definir un plan efectivo de mitigación de riesgos para una arquitectura, funcionalidad y configuración específicas del sistema.

...

Descargar como (para miembros actualizados) txt (19.1 Kb) pdf (120.2 Kb) docx (23.1 Kb)

Leer 11 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

prev next

Denunciar este ensayo

Ensayos relacionados

La introducción de métodos eficaces de software de seguridad, de la protección del trabajo y de la organización de los procesos de
“IMPLEMENTACION DE BUENAS PRACTICAS DE SEGURIDAD, SALUD OCUPACIONAL Y ORGANIZACION DE PROCESOS EN UNA EMPRESA DE ARTES GRAFICAS DIRIGIDA AL AREA DE ENCUADERNACION MANUAL.” Luego

5 Páginas • 705 Visualizaciones
Objetivos De La Seguridad Generalmente, Los Sistemas De Información Incluyen Todos Los Datos De Una Compañía Y También El Material Y Los Recursos De Software Que Permiten A Una Compañía Almacenar Y Hacer Circular Estos Datos. Los Sistemas De Informa
Objetivos de la seguridad Generalmente, los sistemas de información incluyen todos los datos de una compañía y también el material y los recursos de software

2 Páginas • 711 Visualizaciones
La creación de software para garantizar mejor la seguridad de la empresa
1. Introducción Gracias a la evolución de la tecnología y la facilidad de usarla, las personas la están utilizando mucho, pero tenemos que recordar que

1 Páginas • 456 Visualizaciones
Ensayo Sobre Base De Datos Introducción Una Base De Datos Es Un Software Que Controla La Organización, Almacenamiento, Recuperación, Seguridad E Integridad De Los Datos En Una Base De Datos, Acepta Pedidos De Datos Desde Un Programa De Aplicación Y
Ensayo sobre Base de Datos Introducción Una base de datos Es un software que controla la organización, almacenamiento, recuperación, seguridad e integridad de los datos

7 Páginas • 1117 Visualizaciones
Seguridad En La Ingenieria De Software
INDICE REQUERIMIENTOS 3 Requerimientos Funcionales 3 Requerimientos Estéticos 3 Limitaciones 4 Seguridad 4 USUARIOS 4 DATOS 5 CONTROL DE ACCESO 6 DISEÑO Y ARQUITECTURA 7

8 Páginas • 406 Visualizaciones
Seguridad En Nodos Y Redes (Gestión De Riesgos Software)
9. SEGURIDAD EN NODOS Y REDES Este capítulo recoge de forma sencilla conceptos relacionados con la operación técnica de los sistemas de información. Debe tenerse

6 Páginas • 531 Visualizaciones
¿Que Es Un Software De Seguridad?
¿Qué Es Un Software De Seguridad? Siempre que utilicemos un sistema informático, sin importar cual sea la razón, es importante que tengamos como prioridad la

3 Páginas • 933 Visualizaciones
Software De Seguridad
SOFTWARE DE SEGURIDAD ¿Qué Es Un Software De Seguridad? Siempre que utilicemos un sistema informático, sin importar cuál sea la razón, es importante que tengamos

11 Páginas • 323 Visualizaciones
Cuestionario sobre seguridad de software
10.-P: ¿Cada cuanto le da mantenimiento a los equipos de cómputo? R: todos los lunes o los fines de semana 11.-P:¿cuenta con alguna protección su

2 Páginas • 271 Visualizaciones
Software de soporte al proceso de creacion y registro de políticas de seguridad informática a nivel lógico en organizaciones
SOFTWARE DE SOPORTE AL PROCESO DE CREACION Y REGISTRO DE POLÍTICAS DE SEGURIDAD INFORMÁTICA A NIVEL LÓGICO EN ORGANIZACIONES INVESTIGADORES: ORLANDO JOSÉ DEL RIO BUENDÍA

70 Páginas • 430 Visualizaciones