Guía de modelado de amenazas
¿Qué es el modelado de amenazas?
Los ciberataques se presentan de muchas formas y, a veces, defenderse de ellos puede resultar complicado. Nos preocupamos por la seguridad nacional en el ciberespacio, la seguridad de las redes, la seguridad de las aplicaciones, la seguridad de los datos y todo lo demás. Lo que dificulta las cosas para el profesional de la seguridad es que el atacante puede entrar de mil una maneras, y cada punto de entrada potencial debe estar protegido. Los atacantes pueden atacar en cualquier lugar y los defensores deben defender en todas partes. Antes de poder proteger cada posible punto de entrada y abordar el vector de ataque, primero deben identificarse, y aquí es donde entra en juego el modelado de subprocesos.
El modelado de amenazas es la forma en que se pueden identificar, enumerar, clasificar y mitigar las amenazas potenciales. Es un enfoque proactivo que se utiliza para comprender cómo se podrían realizar diferentes amenazas y ataques. El propósito del modelado de amenazas es proporcionar a los equipos de seguridad un análisis sistemático de las contramedidas que deben implementarse, dada la naturaleza del activo, los vectores de ataque más probables y los activos más buscados por un atacante. El modelado de amenazas responde a preguntas como '¿Dónde soy más vulnerable a los ataques?', '¿Qué amenazas, si se llevan a cabo, pueden tener un mayor impacto?' y '¿Qué contramedidas se necesitan para protegerme contra estas amenazas?'.
¿Por qué es importante el modelado de amenazas?
La naturaleza dinámica de los ciberataques hace que el modelado de amenazas sea fundamental para la seguridad. Los lados de ataque y defensa de la seguridad cambian constantemente. Para responder adecuadamente a este cambio, las organizaciones deben reevaluar y evolucionar sus defensas continuamente. Además, las aplicaciones o sistemas deben diseñarse para que sean resistentes a los ataques. Sin embargo, establecer los controles de seguridad adecuados necesarios para lograr la resiliencia plantea algunas implicaciones financieras.
El principio fundamental que subyace al modelado de amenazas es que siempre hay recursos limitados para la seguridad, lo que dificulta mitigar todas las amenazas dentro de un sistema. Por lo tanto, es necesario determinar cómo utilizar eficazmente esos recursos limitados. Las organizaciones deben priorizar los riesgos y tratarlos en consecuencia. Un factor crítico para determinar el riesgo es la amenaza. El modelado de amenazas ayuda a las organizaciones a identificar sistemáticamente escenarios de amenazas relevantes para el sistema con el fin de implementar contramedidas efectivas para protegerlos. Por eso el modelado de amenazas es esencial. Ayuda a los equipos de seguridad a comprender cómo los sistemas pueden ser vulnerables y qué correcciones de control se necesitan para priorizar las correcciones según la gravedad y el impacto de las amenazas anticipadas.
Cómo encaja el modelado de amenazas en la evaluación de riesgos
La evaluación de riesgos identifica los riesgos de seguridad mediante el análisis de activos, amenazas y vulnerabilidades, incluida su gravedad y la probabilidad de que ocurran. Por otro lado, el modelado de amenazas permite centrarse más en los activos e identificar posibles amenazas y vectores de ataque que podrían explotar las vulnerabilidades encontradas en esos activos y sus componentes durante la evaluación de riesgos. Además, analiza quién probablemente querría atacar el activo y cómo podrían hacerlo con éxito.
De hecho, el modelado de amenazas es una forma de evaluación de riesgos que modela aspectos de los lados de ataque y defensa de un sistema o sus componentes. Aumenta el proceso de evaluación de riesgos generando eventos de amenazas contextualizados con una secuencia bien descrita de acciones, actividades y escenarios que el atacante puede realizar para comprometer el activo o sistema. Esto ayuda a los equipos de seguridad a idear controles y contramedidas más específicos. El siguiente diagrama muestra cómo encajan el modelado de amenazas y la evaluación de riesgos.
Componentes de un proceso de modelado de amenazas
Se utilizan diferentes enfoques o metodologías para el modelado de amenazas; discutiremos eso en la siguiente sección. Sin embargo, todas estas metodologías tienen algunos procesos o flujo lógico que comparten. Examinemos ahora este flujo lógico básico:
Establecer el equipo y el alcance del proyecto. : El equipo de modelado de amenazas debe ser lo más heterogéneo posible para garantizar un modelo de amenazas más completo. Debe incluir partes interesadas clave, como ejecutivos de nivel C, ingenieros de redes, desarrolladores y gerentes de seguridad. A continuación, defina y describa el alcance del trabajo, incluido el alcance técnico, la arquitectura del sistema, los componentes del sistema, los perímetros de seguridad y los flujos de datos, antes de realizar el modelado de amenazas para el sistema objetivo. Esto implica recopilar información y demarcar los límites del perímetro.
Descomponer el Sistema o aplicación : La descomposición del sistema es descomponer un sistema en sus diferentes componentes. Esto implica identificar los componentes del sistema, dibujar cómo fluyen los datos y dividir los límites de confianza. Una de las técnicas para descomponer un sistema es construir un diagrama de flujo de datos (DFD). Los DFD ayudan a los usuarios a obtener una mejor visión del sistema al brindar una representación visual que ilustra los flujos de datos en el sistema y las acciones que los usuarios pueden realizar dentro de un estado del sistema. Algunos modelos se basan en diagramas de flujo de procesos (PFD) en lugar de DFD. Una vez completada, la representación visual se utiliza para identificar y enumerar amenazas potenciales.
Identifique posibles amenazas: La identificación de amenazas implica identificar y documentar vectores y eventos de amenazas. Luego, para todos los objetivos potenciales, determine dónde existen peligros y utilice escenarios de amenazas y árboles de ataque para identificar posibles vulnerabilidades que podrían explotarse. También se pueden utilizar herramientas de modelado de amenazas para automatizar este paso.
Modelado de ataques : El modelado de ataques describe el enfoque de intrusión de un atacante para que los usuarios puedan identificar los controles de mitigación necesarios para defender el sistema y priorizar su implementación. Después de ubicar los eventos de amenazas relevantes para el sistema, vincúlelos a una posible secuencia de ataques. Esto implica mapear la secuencia de ataques, describir tácticas, técnicas y procedimientos, y crear escenarios de amenaza. Se pueden utilizar marcos de ataque como MITRE ATT&CK o Lockheed Martin Kill Chain para modelar el ataque.
Implementar mitigaciones . Al comprender los vectores de ataque y los riesgos de seguridad en las distintas etapas, podrá aplicar controles y contramedidas adecuados para mitigar las amenazas o posibles ataques o minimizar su impacto. Desarrollar estrategias para contener estas amenazas. Por lo general, esto incluye evitar el peligro, reducir el efecto negativo o la probabilidad de la amenaza, transferir toda o parte de la amenaza a otra parte e incluso aceptar algunas o todas las consecuencias potenciales o reales de una amenaza en particular. Lo contrario de estas estrategias se puede utilizar para responder a las oportunidades.
Marcos y metodologías de modelado de amenazas
Hay varias metodologías y marcos disponibles que puede utilizar para realizar modelos de amenazas. Las metodologías de modelado de amenazas se pueden clasificar según el enfoque de los enfoques. Estos enfoques incluyen aquellos que se centran en los activos del sistema que se modelan en amenazas (centrado en activos), aquellos que se centran en los atacantes (modelado de amenazas centrado en ataques) y los enfoques que se centran en el software o el sistema (centrado en software). o modelado de amenazas centrado en el sistema). Decidir qué métodos implementar depende del sistema o de los tipos de amenazas modeladas y con qué propósito. A continuación se detallan algunas de las metodologías de modelado de amenazas que se utilizan comúnmente en la actualidad:
PASO : Los ingenieros de Microsoft desarrollaron la metodología STRIDE en 1999 para guiar el descubrimiento de amenazas en un sistema. Se utiliza junto con un modelo del sistema objetivo que se puede construir en paralelo. Esto incluye un desglose completo de los procesos, almacenes de datos, flujos de datos y límites de confianza. STRIDE es un acrónimo de los tipos de amenazas que aborda. La siguiente tabla es un desglose de las diversas amenazas gestionadas por STRIDE y las propiedades asociadas violadas:
| suplantación de identidad | Autenticidad | Fingir ser algo o alguien que no eres |
| manipulación | Integridad | Alterar datos dentro de un sistema para lograr un objetivo malicioso. |
| Repudio | Non-repudiable | Afirmar no ser responsable de una acción |
| Divulgación de información | Confidencialidad | Filtrar información protegida a entidades no autorizadas. |
| Denial of service (DoS) | Disponibilidad | Agotar o negar el acceso a los recursos necesarios para prestar el servicio. |
| Elevación de privilegios | Autorización | Permitir que alguien haga algo para lo que no está autorizado |
Tabla 1.0 | Amenazas STRIDE y las propiedades asociadas violadas
OCTAVA: La Evaluación de vulnerabilidades, activos y amenazas operativamente críticas (OCTAVE) es una metodología de modelado de amenazas centrada en activos y operaciones desarrollada en 2003 en la Universidad Carnegie Mellon para ayudar a las organizaciones a evaluar los riesgos no técnicos que pueden resultar de una violación de datos. OCTAVE consta de las siguientes fases:
- Creación de perfiles de amenazas basados en activos: evaluación organizacional.
- Identificación de vulnerabilidades de la infraestructura: evaluación de la infraestructura de la información
- Desarrollar y planificar una estrategia de seguridad: evaluar los riesgos para los activos críticos y la toma de decisiones de la organización.
Con OCTAVE, se identifican los activos de información de una organización y los conjuntos de datos contienen atributos basados en el tipo de datos almacenados. OCTAVE es más útil para crear una cultura corporativa consciente de los riesgos. Sin embargo, carece de escalabilidad.
Triciclo: Trike es un marco de código abierto centrado en activos para modelado de amenazas y evaluación de riesgos.
El proyecto comenzó en 2006 para mejorar la eficiencia y eficacia de las metodologías de modelado de amenazas existentes. Trike está enfocado en satisfacer el proceso de auditoría de seguridad desde una perspectiva de gestión de riesgos cibernéticos. La base de la metodología de modelado de amenazas de Trike es un 'modelo de requisitos', que garantiza que el nivel de riesgo asignado para cada activo sea 'aceptable' para las distintas partes interesadas.
Las amenazas se identifican iterando a través de un diagrama de flujo de datos (DFD). Las amenazas identificadas se agrupan en dos categorías: denegación de servicio o elevación de privilegios. Luego se analiza el modelo de implementación para producir un modelo de amenaza Trike.
PASTA : El Proceso de simulación de ataques y análisis de amenazas (PASTA) es una metodología de siete pasos centrada en ataques diseñada en 2015 para ayudar a las organizaciones a alinear los requisitos técnicos con los objetivos comerciales al tiempo que consideran el análisis del impacto comercial y los requisitos de cumplimiento. El objetivo de esta metodología es proporcionar un proceso dinámico de identificación, enumeración y puntuación de amenazas. PASTA se centra en guiar a los equipos para identificar, contar y priorizar las amenazas de forma dinámica. La secuencia general es la siguiente:
- Definir objetivos de negocio.
- Definir alcance técnico
- Descomposición de la aplicación
- Análisis de amenazas
- Análisis de vulnerabilidades y debilidades.
- Enumeración y modelado de ataques.
- Análisis de riesgos y contramedidas.
Una vez que se completa el modelo de amenazas, se puede desarrollar un análisis detallado de las amenazas identificadas y los controles de seguridad adecuados. El modelado de amenazas de PASTA es ideal para organizaciones que desean alinearse con objetivos estratégicos porque incorpora el análisis de impacto empresarial como parte integral del proceso.
Guía de modelado de amenazas del NIST: El Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. publicó en 2016 su propio metodología de modelado de amenazas centrada en datos que se centra en proteger datos de alto valor dentro de los sistemas. Modela aspectos de ataque y defensa para datos seleccionados. En este modelo, el análisis de riesgos se lleva a cabo mediante los siguientes cuatro pasos importantes:
- Identificar y caracterizar el sistema y los datos de interés.
- Identificar y seleccionar los vectores de ataque a incluir en el modelo.
- Caracterizar los controles de seguridad para mitigar los vectores de ataque.
- Analizar el modelo de amenaza
La guía está dirigida a gerentes de seguridad, ingenieros/arquitectos de seguridad, administradores de sistemas, auditores y otras personas responsables de la seguridad de los sistemas y los datos. Según los autores, “la intención no es reemplazar las metodologías existentes, sino más bien definir principios fundamentales que deberían ser parte de cualquier metodología sólida de modelado de amenazas a sistemas centrados en datos.
VASTO: La amenaza visual, ágil y simple (VAST) es una metodología de modelado altamente escalable que aborda de manera única las preocupaciones tanto de los desarrolladores como de los equipos de infraestructura. La automatización, la integración y la colaboración son fundamentales para el modelado de amenazas VAST. VAST se basa en Modelador de amenazas —una herramienta automatizada de modelado de amenazas diseñada para integrarse en todo el ciclo de vida de desarrollo de software (SDLC). Esta metodología utiliza dos modelos de amenazas: modelos de amenazas de aplicaciones para equipos de desarrollo y modelos de amenazas operativas para los equipos de infraestructura.
Los modelos de amenazas de aplicaciones para equipos de desarrollo se crean con diagramas de flujo de procesos (PFD), un diagrama de flujo que ayuda a describir el flujo general de un proceso empresarial y cómo interactuaría el usuario con el sistema. VAST utiliza PFD en lugar de DFD para proporcionar información contextual más profunda y una vista similar a la de un atacante. Por otro lado, los modelos de amenazas operativas utilizan los DFD tradicionales que también se presentan desde la perspectiva de un atacante.
Elegir la metodología de modelado de amenazas adecuada
Dado que existen diversas metodologías de modelado de amenazas, elegir la adecuada para su empresa y su entorno puede resultar un desafío. No todas las metodologías de modelado de amenazas se crean con el mismo enfoque. Algunos se centran en los activos del sistema que se modelan como amenazas, otros en los atacantes y otros en el sistema o software que se modela como amenazas.
Si bien todas las metodologías de modelado de amenazas pueden identificar amenazas potenciales, la cantidad y el tipo de amenazas identificadas variarán significativamente, incluida la calidad, la coherencia y el valor recibido de esos modelos de amenazas. Lo que encaja perfectamente desde el punto de vista del enfoque de características y modelos para una organización puede no encajar en otra. Para garantizar que la inteligencia sobre amenazas sea procesable, los equipos de seguridad deben descifrar qué método se alinea con sus metas y objetivos comerciales específicos.
Debe considerar una variedad de factores, como el sistema o el tipo de amenazas que se modelan, y con qué propósito, el enfoque de modelado (centrado en activos, centrado en ataques o centrado en software) que mejor se adapta a sus necesidades, el resultado deseado, capacidad de escalar, capacidad de generar informes y capacidad de medir la efectividad del modelado de amenazas, entre otros.
Herramientas de modelado de amenazas
El modelado de amenazas puede ser un proceso complejo y que requiere mucho tiempo. Sin embargo, algunas herramientas pueden automatizar el proceso y reducir el tiempo y el costo involucrado. Una buena herramienta de modelado de amenazas permite a los usuarios visualizar, diseñar, planificar y predecir todo tipo de amenazas potenciales. Microsoft Visio, Excel y PowerPoint se encuentran entre las herramientas más comunes utilizadas para el modelado de amenazas. Otras herramientas de modelado de amenazas comerciales y de código abierto comúnmente utilizadas incluyen:
1. Herramienta de modelado de amenazas de Microsoft
Herramienta de modelado de amenazas de Microsoft fue diseñado pensando en expertos no relacionados con la seguridad y está disponible de forma gratuita. La herramienta puede conectarse a cualquier sistema de seguimiento de problemas, lo que hace que el proceso de modelado de amenazas forme parte del proceso de desarrollo estándar. Además, proporciona una guía clara sobre la creación y análisis de modelos de amenazas y permite a los desarrolladores o arquitectos de software:
- Comunicar sobre el diseño de seguridad de sus sistemas.
- Analice esos diseños en busca de posibles problemas de seguridad utilizando una metodología probada.
- Sugerir y gestionar mitigaciones para problemas de seguridad.
2. Dragón amenazador OWASP
Dragón amenaza OWASP es una herramienta de modelado de amenazas de código abierto que se utiliza para crear modelos de amenazas como parte de un ciclo de vida de desarrollo seguro. Threat Dragon sigue los valores y principios de la manifiesto de modelado de amenazas .
Ventajas:
- Plataforma completamente de código abierto y transparente
- Admite metodologías populares como STRIDE
- Tiene un fuerte apoyo de la comunidad.
- Admite una amplia gama de integraciones
Contras:
- Más adecuado para entornos no empresariales
Threat Dragon admite STRIDE y otras metodologías y puede documentar posibles amenazas y decidir sobre sus mitigaciones.
3. Modelador de amenazas
Modelador de amenazas es una herramienta automatizada de modelado de amenazas moderna que implementa la metodología VAST. La herramienta está diseñada para integrarse en un entorno de desarrollo de software ágil y proporcionar resultados procesables para que los desarrolladores y equipos de seguridad identifiquen, predigan y definan amenazas.
Ventajas:
- Modelado de amenazas fácil de usar
- Puede personalizar las bibliotecas de amenazas según el proyecto.
- Se integra con herramientas populares como JIRA o Jenkins.
Contras:
- La interfaz puede parecer primitiva a veces.
Además, ThreatModeler ofrece una visión holística de toda la superficie de ataque, lo que permite a las empresas minimizar su riesgo general.
4. securiCAD Profesional
securiCAD Profesional de Foreseeti permite a los equipos de seguridad diseñar modelos virtuales de infraestructuras de TI existentes y futuras. Las simulaciones de ataques en un modelo virtual y las pruebas de mitigación brindan información detallada sobre las rutas de ataque exitosas y, muy probablemente, las cadenas de destrucción.
Ventajas:
- Diseñado pensando en los equipos de seguridad
- Proporciona una variedad de opciones de simulación de ataques.
- Ofrece una manera simple pero poderosa de acceder a diferentes opciones de mitigación.
Contras:
- Ideal para equipos de seguridad medianos y grandes
Además, los usuarios pueden evaluar virtualmente las mitigaciones de seguridad implementadas en securiCAD para encontrar la forma más eficaz de eliminar las amenazas cibernéticas.
5. Riesgo de Irius
riesgo irius es una herramienta de modelado de amenazas que realiza análisis de riesgos y genera un modelo de amenazas de una aplicación de software en la fase de diseño con recomendaciones sobre cómo abordar el riesgo.
Ventajas:
- Herramientas de modelado fáciles de usar
- La versión Enterprise incluye acceso API para grandes proyectos.
- Incluye una versión gratuita
Contras:
- Más adecuado para la planificación y el modelado de amenazas.
Es una herramienta de arrastrar y soltar basada en un asistente que puede utilizar para generar mapas de amenazas con información sobre qué buscar.
6. Elementos SD
Elementos SD de Security Compass es una plataforma integrada de evaluación de riesgos, codificación segura y modelado de amenazas que permite la automatización de todo el proceso de seguridad y al mismo tiempo aprovecha la automatización del desarrollo equilibrado (BDA). Esto ayuda a maximizar el tiempo y el valor.
Ventajas:
- Incluye una herramienta de evaluación de riesgos combinada con herramientas avanzadas de modelado de amenazas.
- Puede automatizar muchos escaneos, pruebas y evaluaciones.
- Proporciona una excelente combinación de tiempo y valor.
- Lo mejor para entornos más grandes
Contras:
- Puede tomarse un tiempo para explorar completamente todas las opciones y características
7. Seguridad
El Seguridad Threat Modeling Automator es una herramienta basada en SaaS compatible con STRIDE y diseñada para permitir la seguridad en la etapa arquitectónica. Su enfoque es simple: cargue un diagrama de su sistema (con sus datos anotados) en formato draw.io, Visio o Excel, y generará su modelo de amenaza. El modelo de amenazas desarrollado identificará los elementos, el flujo de datos y las amenazas y recomendará mitigaciones.
Ventajas:
- Se centra en gran medida en la automatización del análisis de amenazas.
- Una herramienta SaaS altamente flexible
- Puede generar modelos de amenazas detallados basados en diagramas de red.
- Soporta el marco STRIDE
Contras:
- Requiere un grado considerable de experiencia técnica para operar
