Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Análisis y Modelado de Amenazas.

No description
by

Pilar Retana

on 6 September 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Análisis y Modelado de Amenazas.

Consideraciones previas
Debe ser capaz:
Etapas del modelado de amenazas.
Etapas del modelado de amenazas.
Análisis y Modelado de Amenazas.
Modelado de amenazas
Análisis y modelado de amenazas
Es un proceso que nos va a facilitar la comprensión de las diferentes amenazas de seguridad a las que va a estar expuesto un sistema o una aplicación.
Para conseguir que nuestro modelado de amenazas resulte efectivo, es importante tener en cuenta que se debe realizar como un proceso sistemático, en continua actualización.

De este modo conseguiremos identificar y mitigar el mayor número posible de amenazas y vulnerabilidades.
Herramientas para modelar amenazas
Dos aplicaciones provistas por Microsoft, fueron concebidas para cubrir necesidades de diferentes equipos de desarrollo de la compañía.
SDL Threat Modeling Tool (SDL)
Threat Analysis and Modeling Tool (TAM).
Otras:
Consultative Objective Risk Analysis System (CORAS) proporciona un método basado en modelos, para realizar análisis de riesgo.
Es una técnica de Ingeniería cuyo objetivo es ayudar a identificar y planificar de forma correcta la mejor manera de mitigar las amenazas de una aplicación o sistema informático.
Modelado de amenazas.
En un escenario ideal debería iniciarse desde las primeras etapas del desarrollo y planificación de cualquier aplicación o sistema.
Su finalidad.
Preparar las defensas adecuadas durante las fases de diseño, implementación y también durante su posterior revisión y testeo.
Identificar amenazas potenciales así como las condiciones necesarias para que un ataque se logre llevar a cabo con éxito.
Facilitar la identificación de las condiciones o aquellas vulnerabilidades que, una vez eliminadas o contrarrestadas, afectan a la existencia de múltiples amenazas.
Proporcionar información relevante sobre cuáles serían las contramedidas más eficaces para contrarrestar un posible ataque y/o mitigar los efectos de la presencia de una vulnerabilidad en nuestro sistema/aplicación.
Proveer información sobre cómo las medidas actuales previenen la consecución de ataques.
Transmitir a la gerencia la importancia de los riesgos tecnológicos en términos de impacto de negocio.
Proporcionar una estrategia sólida para evitar posibles brechas de seguridad.
ETAPA 1:
Conformar un grupo de análisis de riesgos
. Estará encargado de llevar adelante el modelado.

ETAPA 2:
Descomponer la aplicación e identificar componentes clave.
Esta etapa se concentra en reconocer los componentes principales de la aplicación para crear un "perfil de seguridad" (vulnerabilidades conocidas).
ETAPA 3:
Determinar las amenazas de cada componente de la aplicación.

No solo las características propias de un componente determinan su exposición a ciertas amenazas, sino también las interacciones con otros componentes.
Es adecuado para esta actividad adoptar el punto de vista del atacante.
ETAPA 4:
Asignar un valor de cada amenaza.
Se calcula el riesgo asociado a cada amenaza, mediante alguna técnica elegida para tal fin. Esto nos permitirá determinar qué respuesta dar a cada amenaza, y priorizarlas según el riesgo que representen para la aplicación.
Método de clasificación STRIDE
Se recomienda para aplicar la visión del atacante éste metodo - Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege.

Se aplica, por cada elemento de la aplicación identificado en la etapa anterior, analizando a cuales de las categorías de amenazas es sensible.
Ejemplo del resultado de STRIDE
Método de puntuación DREAD
Daño potencial, Reproductividad, Explotabilidad, Usuarios afectados, Descubribilidad.

Tres partes según su riesgo: Alto, Medio, Bajo.
consideran de:
12-15 riesgo Alto.
8-11 riesgo Medio.
5-7 riesgo Bajo.
ETAPA 5:
Decidir cómo responder a las amenazas
.
Frente a las amenazas se pueden dar diferentes respuestas, basándose principalmente en el riesgo asociado a cada una.
ETAPA 6:
Identificar las técnicas y tecnologías necesarias para mitigar los riesgos identificados.
Para
las amenazas que se vayan a mitigar debemos seleccionar las herramientas tecnológicas.
Referencias.
P.F., Daniel, Análisis y modelado de Amenaza. Cómo mitigar las amenazas de una aplicación o sistema informático. Editorial OPENLIBRA, 2007.

http://www.frsf.utn.edu.ar/cneisi2010/archivos/22-Modelado_de_Amenazas_en_el_dise%C3%B1o_de_sistemas.pdf

http://blogs.msdn.com/b/ptorr/archive/2005/02/22/guerillathreatmodelling.aspx

Realizó:
Retana Aguilar Pilar del Rocío
GRACIAS :D
Full transcript