Piensa, haz y fluye - LIBRO
ciberseguridad, Modelo de amenazas STRIDE y modelo de evaluación de riesgos DREAD
Auditoría de código,  Ciberseguridad,  Desarrollo seguro

Modelo de amenazas STRIDE y modelo de evaluación de riesgos DREAD

El modelo de amenazas STRIDE ofrece una interesante división a seis sobre las categorías de estas. Puede emplearse en la identificación y categorización de amenazas de seguridad informática, y es muy práctico dentro del desarrollo seguro como marco de pensamiento en el descubrimiento de vulnerabilidades, al servir como inicio de estas y dar forma a las amenazas que un sistema o componente software enfrenta. Nos servirá desde las primeras fases de la aplicación del desarrollo seguro sobre nuestro proyecto de desarrollo de software, en especial en la fase de análisis (redacción y forma de requisitos) y diseño.

Verónica Hontecillas Mentor - Coach Experta en inteligencia emocional

Amenaza del sistemaPropiedad deseada como contramedida
SpoofingAutenticidad
TamperingIntegridad
RepudioNo repudio
Revelación de informaciónConfidencialidad
Denegación de ServicioDisponibilidad
Elevación de PrivilegioAutorización
Tabla de modelo de categorización de amenazas STRIDE

¿Qué es el desarrollo seguro?


Pasos de una static application security testing (SAST), desarrollo seguro, AuditoriaDeCodigo.com
Pasos de una static application security testing (SAST), desarrollo seguro, AuditoriaDeCodigo.com

Categorizando una amenaza: modelo STRIDE

Siguiendo el modelo de amenazas STRIDE, podemos dividir estas en las siguientes 6 categorías. Mediante el siguiente esquema de modelado podemos categorizar por ejemplo los casos de abuso que ocupan a nuestro sistema o proyecto software.


CategoríaDescripción
SpoofingSuplantación de identidad de usuario. Conjunto de tácticas y técnicas que buscan un compromiso de la gestión de identidad, autenticación y autenticidad del sistema.
TamperingManipulación no autorizada. Motivación de afectar a la integridad de los elementos del sistema, modificándolo de manera maliciosa.
RepudiationReferente a no repudio. Cualidad de un sistema que permite tener certeza y validez sobre la demostración de autoría en una determinada acción.
Information disclosureExposición de información. Brecha o fuga de información de clasificación interna o superior de la organización.
Denial of serviceDenegación de servicio. Ataques que buscan afectar la capacidad del sistema para ofrecer servicio. Estos ataques pueden afectar al servicio de manera temporal o indefinida.
Elevation of privilegeEscalada de privilegios. Motivación de realizar acciones para las que un usuario no está autorizado originalmente. Elevando el nivel de permisos y disponibilidad sobre los recursos y funcionalidades del sistema.
Tabla de modelo de categorización de amenazas STRIDE

¿Qué es una auditoría de código?


Puntuando una amenaza: modelo DREAD

El modelo DREAD también nos ofrece un mnemónico que divide a cinco, esta vez cinco categorías para la evaluación de un riesgo. Aunque su desarrollo se ha descontinuado puede ser interesante tenerlo en cuenta. Mediante estas cinco propiedades podemos analizar en detalle un riesgo de nuestro sistema o componente software, para después establecer una medida que nos indique su criticidad y por lo tanto la priorización entre los riesgos analizados.


Letra y descripción básica D R E A DPreguntas que hacernos
Damage: daño, impacto resultado de la explotación de la vulnerabilidad¿Cómo de negativo será el ataque e impacto?, cantidad y cualidad de las perdidas
Reproducibility: reproducción del incidente, facilidad de su repetición ¿Cómo de fácil es repetir el ataque?, coste de tiempo y recursos
Exploitability: explotación de la vulnerabilidad, complejidad y coste de explotación¿Cómo de compleja es la explotación de esta vulnerabilidad?, coste de tiempo y recursos
Affected users: afectación del incidente, cuantos usuarios y recursos se ven afectados, importancia de estos¿Cuántos usuarios y recursos se ven afectados?, diferenciación dentro de la afectación, porcentaje de usuarios
Discoverability: facilidad de descubrimiento, exposición de la vulnerabilidad.¿Cuan expuesta esta la vulnerabilidad?, ¿Cuánto cuesta descubrirla?, descubrimiento posible mediante procesos automáticos o necesidad de interacción
Tabla de modelo de evaluación de riesgos DREAD

Para usarlo sobre un riesgo concreto (Amenaza, vulnerabilidad, explotación e impacto), sencillamente puedes establecer una puntuación del 1 al 10 de cada una de las cinco categorías y después sumar obteniendo la puntuación. Dicha puntuación no solo es práctica en si misma si no también para interrelacionar todas ellas y con esto priorizar los riesgos de mayor criticidad que nos ocupen. A continuación un ejemplo que hace uso de numeración del 1 al 3:


DREAD evaluación de riesgos, desarrollo seguro, sobre un riesgo concreto (Amenaza, vulnerabilidad, explotación e impacto)
DREAD evaluación de riesgos, desarrollo seguro, sobre un riesgo concreto (Amenaza, vulnerabilidad, explotación e impacto)

¿Qué es el desarrollo seguro?

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

error

Enjoy this blog? Please spread the word :)

error: