Seguridad en el Software

Trabajo. Metodologías de modelo de amenazas

OBJETIVO

El objetivo principal de esta actividad es formular una técnica que permita identificar las posibles amenazas y vulnerabilidades, con el propósito de cumplir los objetivos de seguridad, disminuir el riesgo y garantizar la construcción segura de aplicativos.

INTRODUCCIÓN

En este trabajo de investigación se presenta un ejemplo de modelado de amenazas de una tienda de libros online, llamada “Librería On-Line SA”, la cual ha sufrido un ataque que comprometió las credenciales de los clientes. Se busca implementar una metodología que permita a la tienda identificar amenazas de manera rápida y resolverlas en un corto tiempo y se utilizará la herramienta Threat Analysis and Modeling Tool 2016, el cual permitirá completar la técnica.

MODELADO DE AMENAZAS

El modelado de amenazas es una técnica de ingeniería cuyo objetivo es identificar y planificar la mitigación de amenazas. Le permite al equipo tomar mejores decisiones en cuanto a la seguridad que se debe aplicar durante en desarrollo de un sistema.

El modelado de amenazas consiste en responder las siguientes preguntas:

• ¿Qué activos de mayor valor se quiere proteger?
• ¿Cuáles son las vulnerabilidades de estos activos o componentes?
• ¿A que entorno de amenazas se encuentran expuestos estos activos?
• ¿Qué amenazas existen en ese entorno?
• ¿Cuáles son las probabilidades en función de las capacidades que se tiene habría de que explotaran las vulnerabilidades que tienen los componentes o sistemas?
• ¿Se ha realizado el análisis completo o se ha pasado algo por alto?

Es un proceso continuo e iterativo. El objetivo fundamental de la realización de un modelado de amenazas, será proporcionar una documentación completa de los activos, amenazas y ataques para determinar el nivel de riego y la toma de decisiones estratégicas.

Tipos de Metodologías.

Existen numerosas metodologías de modelado de amenazas, por lo general, el modelado de amenazas se implementa utilizando uno de tres enfoques, ya sea centrada en el activo, es decir, que se evalúa y clasifica el riesgo que poseen los activos.

Centradas en el atacante, es decir, que se analiza las intenciones de un atacante sobre un sistema y finalmente centradas en el software, es decir. se analiza el sistema y se modelan protocolos de red al cual podría estar expuestos.

Dentro del listado de propuestas de modelado de amenazas se encuentran las siguientes:

Trike Threat Modeling

Metodología iniciada en el 2006. Esta metodología está diseñada para permitir al analista describir de forma completa y precisa las características de seguridad de un sistema, desde los detalles de alto nivel hasta la implementación.

Está enfocada en satisfacer el proceso de auditoría de seguridad. Al ser un modelo de requerimientos, se asegura que el nivel de riesgo sea “aceptable” para las partes interesadas.

CORAS

Desarrollada en el 2011. Proporciona un análisis de riesgos basado en la elaboración de modelos para realizar análisis de riesgos. Se explica como se debe usar el lenguaje para recolectar y modelar loa información relevante durante las etapas de análisis de seguridad. Puede contribuir a la reducción de riesgos y la adopción de unas correctas contramedidas

PTA (Practical Threat Analysis)

Permite evaluar los riesgos operativos y de seguridad en un sistema. En el proceso de modelado practico de análisis de amenazas permite determinar cuáles son los activos que se quieren proteger con mayor severidad, se identifica de forma iterativa cuales son las vulnerabilidades en función de la lógica y funcionalidad. Permite establecer salvaguardas y crear planes de mitigación

Microsoft Threat Analysis and Modeling

En un principio, se diseñó para construir un modelo que relacionara los principales vectores de ataques y amenazas. Genera una clasificación que permite priorizar los riesgos de un sistema acorde a sus cinco etapas o fases.

Tomando en cuenta la información del documento de la explicación de trabajo, se seleccionó la metodología STRIDE. A continuación, se explicará más a detalle esta metodología.

Metodología STRIDE

STRIDE fue desarrollado a finales de los años 90´s por Microsoft. Esta metodología es utilizada para descubrir las debilidades de seguridad de un sistema de software. STRIDE funciona para las siguientes categorías:

• Spoofing Identity (Falsificación de la identidad): Un actor malicioso ejerce un fraude falsificando la información e identidad de un usuario.
• Tempering with Data (Integridad de datos): Un actor malicioso daña la integridad de los datos a través del cambio de configuración dentro del sistema de ficheros, permitiendo la inserción de archivos maliciosos o la modificación de archivos de logs.
• Repudiation Threats (Amenazas de repudio): Un actor malicioso lleva a cabo una ejecución de operación en el sistema y niega su culpabilidad.
• Information Disclosure (Confidencialidad de la Información): Un sistema revela datos sensibles del usuario sin la autorización requerida. Esto afecta el almacenamiento de datos en el procesamiento de la información.
• Denaial of Service (Denegación del Servicio): Se restringe el acceso a recursos que deberían estar disponibles a un usuario autorizado.
• Elevation of Privileges (Elevación de Privilegios de Autorizacion): Cuando un usuario que no tiene autorización gana acceso a información que no debería ver.

TABLA DE ACTORES Y SUS NIVELES DE CONFIANZA

Se asigna un identificador único a cada actor. Se utiliza para poder realizar una referencia cruzada de los actores y su nivel de confianza con los puntos de entrada y los activos.

...