Seguridad software

[pic 1]

[pic 2]

TITULO:

MODELADO DE AMENAZAS

ALUMNO:

ROBERTO GUTIÉRREZ MONROY

MAESTRIA:

 Ingeniería de Software y Sistemas Informáticos

PROFESOR:

M.G.T.I. OMAR URIEL DOMINGUEZ MENDOZA

FECHA:

14 DICIEMBRE DE 2020

Introducción Modelado de Amenazas[pic 3]

El modelado de amenazas es el proceso informático mediante el cual las amenazas potenciales, vulnerabilidades estructurales o la ausencia de salvaguardas adecuadas, se pueden identificar, enumerar y priorizar, la técnica permite la protección de sistemas, aplicaciones, redes y servicios ^[1].

Radica en facilitar un análisis de forma sistemática para saber la inclusión de controles o defensas requeridas; tomando en cuenta la operatividad del sistema a diseñar, la postura y ejecución probable de un atacante, etapas o aplicaciones más activas, o más vulnerables; lo anterior atiende  las cuestiones que surgen durante el desarrollo de un software seguro, tales como "¿Dónde soy más vulnerable a un ataque?" , "¿Cuáles son las amenazas más relevantes?" y "¿Qué debo hacer para protegerme contra estas amenazas?" .

El modelado es un análisis por medio de diagramas de flujo de datos, en el que se muestra el funcionamiento del sistema (gráficamente). Aplica un marco para ayudar a encontrar y corregir problemas de seguridad. Los sistemas que se publican sin un modelado de amenazas previo ponen en peligro a clientes y organizaciones. Esta técnica la puede aplicar cualquier persona que sepa cómo funciona su sistema y que tenga conocimientos prácticos sobre seguridad de la información.

La técnica se divide en cuatro fases diferentes, cada una de las cuales contiene pasos importantes para ayudarle a crear un diagrama de flujo de datos y a analizarlo en busca de posibles amenazas.

[pic 4]

1. Diseño        - Recopilar todos los requisitos del sistema y crear un diagrama de flujo de datos.
2. Interrupción- Se aplica el modelado de amenazas al diagrama de flujo de datos buscando los posibles problemas de seguridad.
3. Corrección- Atención de los problemas detectados; se aplican la atención correcta de controles de seguridad.
4. Verificación-        Se verifica que los controles de seguridad cumplan con su función específica, se reinicia el ciclo para implementar nuevas funciones o correcciones de errores.[pic 5]

INDICE TEMATICO

Metodologías Existentes                                                                        4

        Correctness by Construction (CbyC)                                                4

Security Development Lifecycle (SDL)                                        5

Metodología STRIDE                                                                6

Planteamiento. Caso de Estudio                                                        8

Diagrama DFD                                                                                10

Matriz STRIDE                                                                                11

Análisis DREAD                                                                                13

Salvaguardas                                                                                18

Conclusiones                                                                                        19

Referencias                                                                                        19

INDICE FIGURAS

Figura 2. Etapas Metodología Correctness by Construction                        4

Figura 3. Etapas Security Development Lifecycle                                        5

Figura 4. Etapas Metodología STRIDE                                                7

Figura 5. Diagrama DFD                                                                        10

INDICE TABLAS

Tabla 1. Matriz STRIDE                                                                        11

Tabla 2. Análisis DREAD                                                                13

...