Seguridad en el Software Metodologías de modelado de amenazas

[pic 2][pic 3]

[pic 4]

[pic 5][pic 6]Seguridad en el Software

Metodologías de modelado de amenazas

07/07/2019

[pic 7]

Contenido

Introducción al modelado de amenazas.        2

¿Qué es una amenaza?        2

Sistema seguro        2

Fuentes de amenazas        4

CICLO DE VIDA DE DESARROLLO DE SOFTWARE SEGURO        5

MODELADO DE AMENAZAS        6

Estudio de metodologías existentes.        7

Ace Threat Analysis and Modeling (Microsoft).        7

CORAS (Consultative Objective Risk Analysis System).        9

Diagrama superficial de activos:        9

Diagrama de amenazas:        9

Diagrama superficial de riesgo        9

Diagrama de tratamiento:        9

Diagrama superficial de tratamiento:        9

Pasos importantes del método CORAS        9

Trike.        10

PTA (Practical Threat Analysis).        11

Etapas de la metodología.        11

Descripción de una metodología en profundidad.        12

Ace Threat Analysis and Modeling (Microsoft)        12

Etapas del modelado de amenazas Ace Threat Analysis and Modeling.        13

Etapa 2: Descomponer la aplicación e identificar componentes claves        14

Etapa 3: Determinar las amenazas de cada componente de la aplicación        16

STRIDE        16

Etapa 4: Asignar valor a cada amenaza        17

Introducción al modelado de amenazas.

En la actualidad existen muchas sistemas de software los cuales nos facilitan la vida durante nuestros trabajos, estos software automatizan nuestros procesos los cuales nos permiten ahorrar tiempo dinero y trabajo, es por ello que manejan grandes cantidades de información la cual es muy importante para nosotros como usuarios de los sistemas de software ,es por eso que es importan que nuestro software sea seguro para poder trabajar sin preocuparnos por la integridad, disponibilidad y confidencialidad de nuestra información.

En la actualidad el software inseguro es uno de las preocupaciones y retos más grandes que se tienen referente a seguridad , en la actualidad las vulnerabilidades de los sistemas van en aumento tanto en sitios web , aplicaciones móviles y aplicaciones de escritorio esto se da muchas veces por no poner más prioridad a comprobar la seguridad de los sistemas ya sea por tiempo o por no creer que pueda pasar algo más allá ,por esta razón cada día se hace más importante el pensamiento de un desarrollo de software seguro .

La comprobación o pruebas de seguridad durante el desarrollo y antes del lanzamiento de algún software han demostrado ser elemento claves para cualquier organización que necesite confiar en el software que desarrolla o usa.

¿Qué es una amenaza?

Conocer el termino de amenaza es muy importante para saber por qué es tan importante el termino de software seguro, la amenaza es todo aquel elemento o acción capaz de atentar contra la seguridad de nuestra sistemas ya sea para dañarlo o robar datos de él, una amenaza se da cuando existe una vulnerabilidad en nuestro sistemas en otras palabras es una debilidad o fallo dentro de nuestro sistema que puede poner en riesgo nuestro software, la amenaza es latente cuando existe la vulnerabilidad y su riesgo depende de la afectación que pueda lograr en nuestro sistemas , dicha amenaza nos afecta cuando se ejecuta y daña nuestro sistema o información de alguna forma es por eso de la importancia de un software seguro.

Sistema seguro

El software normal mente es un sistema más grande, un sistema más complejo y robusto por el simple hecho de que maneja un número más grande de datos  y sus operaciones más complejas, es por eso que el desarrollo de software ha evolucionado y elaborado técnicas y metodologías orientadas al desarrollo de sistemas más seguros, esto se ha convertido en una disciplina la cual trata de construir software seguro el cual se a funcional independiente mente de que se presentes ataques , errores del mismo software o errores de usuario.

Las etapas al momento de desarrollar software seguro son:

• El desarrollo de requerimientos de seguridad.
• El desarrollo de diseño de sistemas seguros.
• La integración de componentes.
• Las pruebas de sistemas y subsistemas.

A la hora de sentarse a desarrollar software una de las grandes problemáticas proviene de las especificaciones inadecuadas, inexactas o inexistentes de los requerimientos o una mala interpretación de los mismos.

Con los requerimientos de un software seguro se busca que el software como tan sea seguro, buscar que el software una vez que se esté en funcionamiento sea capaz de permanecer funcionando correctamente incluso cuando este se encuentre  bajo ataque, y que se sea capaz de reducir o eliminar vulnerabilidades.

Uno de los grandes aspectos que se tienen que tomar a la hora de analizar los requerimientos son:

• Determinar y valorar los activos, definiendo qué se va a y determinando su valor.
• Determinar los actores, dueños de los datos.
• Determinar los casos de uso y roles de cada actor.
• Determinar los requerimientos legales y de negocios.
• Determinar las amenazas sobre los activos identificados, su probabilidad de ocurrencia y la política de manejo.
• Definir la arquitectura del sistema, entendiendo cómo se integran los mecanismos de seguridad.

Durante el diseño y desarrollo del software de debe tomar en cuenta varios elementos primordiales que de diseño para orientar la identificación de vulnerabilidades típicas de un sistema, por ejemplo:

• Diseño de protocolos de seguridad.
• Diseño de control de accesos y contraseñas.
• El control de publicaciones en sistemas distribuidos.
• El control de concurrencia.
• La tolerancia a fallos y la recuperación de fallos.

Estos puntos no son los únicos pero son algunos de los que se pueden tomar en cuenta, estos dependerán del sistema y de los aspectos o puntos que puedan tu evaluar para diseñar un sistema seguro, algunos de estos puntos pueden estar asociados al aspecto funcional del sistema y otros no.

...