PDF de programación - Análisis y Modelado de Amenazas

Análisis y Modelado de Amenazas

Una revisión detallada de las metodologías y herramientas emergentes

Versión:

1.0

Fecha de creación:

18 / 12 / 2006






Autor: Daniel P.F

metal AT/DOT hacktimes.com



Tabla de contenido

¿Qué es el modelado de amenazas?........................................................................................ 3
Consideraciones previas al proceso de modelado ................................................................. 4
Integración de la seguridad en el ciclo de vida del desarrollo ............................................. 6
Metodologías (State of the art) ............................................................................................... 6
Ace Threat Analysis and Modeling............................................................................... 7
(cid:131)
Pasos del modelado de amenazas según Microsoft ........................................................................7
Método de clasificación STRIDE...................................................................................................8
Método de puntuación DREAD ...................................................................................................11
Evolución de la metodología........................................................................................................13
CORAS.......................................................................................................................... 16
(cid:131)
Trike .............................................................................................................................. 22
(cid:131)
(cid:131)
PTA (Practical Threat Analisys)................................................................................. 23
Herramientas ......................................................................................................................... 26
Microsoft TAM v2.1 ....................................................................................................................26
CORAS ........................................................................................................................................28
Trike .............................................................................................................................................30
PTA ..............................................................................................................................................33
Conclusiones........................................................................................................................... 38
Referencias de interés............................................................................................................ 40
Glosario de términos ............................................................................................................. 41






















Análisis y Modelado de Amenazas



Daniel P.F (metal AT/DOT hacktimes.com)

Página 2 de 42





¿Qué es el modelado de amenazas?

El modelado de amenazas es una técnica de ingeniería cuyo objetivo es ayudar a
identificar y planificar de forma correcta la mejor manera de mitigar las amenazas
de una aplicación o sistema informático.

Para aprovechar mejor los beneficios que proporciona su uso, en un escenario ideal
debería iniciarse desde las primeras etapas del desarrollo y planificación de
cualquier aplicación o sistema.

La verdadera ventaja de esta técnica reside en el hecho de que al aplicarse como
un proceso durante todo el ciclo de vida de desarrollo del software, supone un
enfoque diferente al tradicional análisis de riesgos y la posterior aplicación de
medidas que contribuyan a mejorar la seguridad. Es por esto que el análisis y
modelado de amenazas, aunque es un campo relativamente nuevo, está
despertando un gran interés.

En este sentido, y de forma reciente, Microsoft ha sido uno de los grandes
impulsores de esta técnica, llegando a resultar su particular visión sobre el tema
(por el momento) bastante bien encaminada. Al menos eso es lo que opinan
distintas entidades como la OWASP Foundation y expertos de reconocidas
empresas de seguridad a nivel internacional. Aunque, para alivio de algunos
posibles detractores acérrimos de soluciones procedentes de entidades con ánimo
de lucro, existen otras alternativas en desarrollo. Tanto en lo referente a
metodologías como a herramientas.

El análisis y modelado de amenazas, trata por lo tanto, de un proceso que nos va a
facilitar la comprensión de las diferentes amenazas de seguridad a las que va a
estar expuesto un sistema o una aplicación, y cuya finalidad es preparar las
defensas adecuadas durante las fases de diseño, implementación y también
durante su posterior revisión y testeo. Se trata de identificar las amenazas y definir
una política adecuada que nos permita mitigar el riesgo a unos niveles aceptables,
de una forma efectiva y en base a unos costes razonables.

Básicamente, consiste en revisar el diseño y/o la arquitectura siguiendo una
metodología que nos facilite encontrar y corregir los problemas de seguridad
actuales o futuros. La idea que persigue esta técnica es que los diferentes actores
involucrados (desarrolladores, testers, gerencia, administradores de sistemas,
pentesters, consultores …etc.) participen en el proceso de identificación de las
posibles amenazas. Tomando una actitud defensiva y también poniéndose en
ocasiones, en el papel de un posible atacante. Siguiendo este enfoque, se fuerza a
todos ellos a explorar las debilidades que puedan surgir o que ya estén presentes, y
se determina de este modo si existen las oportunas contramedidas, o en caso
contrario, se definen.

Al mismo tiempo, la realización de un modelado de amenazas contribuye a
identificar y cumplir con los objetivos de seguridad específicos de cada entorno y
facilita la priorización de tareas en base al nivel de riesgo resultante.






Análisis y Modelado de Amenazas



Daniel P.F (metal AT/DOT hacktimes.com)

Página 3 de 42





Consideraciones previas al proceso de modelado

No está de más tener presente que la explotación con éxito de un sólo fallo de
seguridad podría llegar a comprometer todo el sistema. Por ello, y para conseguir
que nuestro modelado de amenazas resulte efectivo, es importante tener en cuenta
que se debe realizar como un proceso sistemático, en continua actualización. De
este modo conseguiremos identificar y mitigar el mayor número posible de
amenazas y vulnerabilidades.

Nuestro modelado de amenazas debería ser capaz de:


(cid:131) Identificar amenazas potenciales así como las condiciones necesarias para que

un ataque se logre llevar a cabo con éxito.

(cid:131) Facilitar la identificación de las condiciones o aquellas vulnerabilidades que,
una vez eliminadas o contrarrestadas, afectan a la existencia de múltiples
amenazas.

(cid:131) Proporcionar información relevante sobre cuales serían las contramedidas más
eficaces para contrarrestar un posible ataque y/o mitigar los efectos de la
presencia de una vulnerabilidad en nuestro sistema/aplicación.

(cid:131) Proveer información sobre cómo las medidas actuales previenen la consecución

de ataques.

(cid:131) Transmitir a la gerencia la importancia de los riesgos tecnológicos en términos

de impacto de negocio.

(cid:131) Proporcionar una estrategia sólida para evitar posibles brechas de seguridad.
(cid:131) Facilitar la comunicación y promover una mejor concienciación sobre la

importancia de la seguridad.

(cid:131) Simplificar la posterior actualización mediante el uso de componentes

reutilizables.


Teniendo esto presente, podemos proceder a la puesta en marcha de un grupo de
trabajo que facilitará la creación del modelado.

Se presupone que entre los participantes del grupo, existe algún integrante del
"Tiger Team" y/o uno o varios consultores externos especializados en seguridad.
También, se debería asignar un responsable o jefe de proyecto que coordine el
proceso y se ocupe además de la recopilación de la información. Es aconsejable la
participación no sólo de los desarrolladores y administradores de sistemas, sino
también del equipo de testing, calidad (si lo hubiera), así como de algún miembro
del equipo directivo/gerencia que pueda aportar información relevante sobre los
procesos de negocio afectados por la aplicación.

Para llevar a cabo una identificación correcta de las posibles vulnerabilidades y
amenazas que puedan afectar a nuestra aplicación y/o sistema, conviene tener
presente ciertos factores como pueden ser: la validación de los datos de entrada,
los procesos de autenticación y autorización, la configuración de las aplicaciones y
sistemas, la administración de las excepciones que puedan generarse, la posibilidad
de manipulación de parámetros, cuestiones referentes a la solidez de las medidas
de criptografía y protección de datos confidenciales (almacenados y/o en tránsito),
las técnicas empleadas para el registro y auditoria de las actividades, o el
tratamiento de las sesiones.

A modo orientativo, la estrategia a seguir, podría ser similar a la que se propone a
continuación:


Análisis y Modelado de Amenazas



Daniel P.F (metal AT/DOT hacktimes.com)

Página 4 de 42





1. Recopilación de información


- Localizar la documentació