Análisis de Riesgos

Arboles de Ataque

Ricardo Cañizares Sales

1
Análisis de Riesgos

 ¿Cómo gestionamos el riesgo?

 ¿Cómo lo analizamos?
 ¿Cómo sabemos a lo que nos enfrentamos?

2
Análisis de Riesgos

 ISO/IEC 27001:2013
Information technology — Security techniques —
Information security management systems —
Requirements
– ISO/IEC 27005:2011
– ISO/IEC 31000

3
Análisis de Riesgos

 ISO/IEC 27001:2013
– 4.1 Comprender la organización y su contexto
• Contexto internal y externo de la organización de acuerdo al
punto 5.3 de la ISO-31000
– 6.1 Analisis y gestión de riesgos
• Alineado con los principios y directrices de la ISO 31000

4
Análisis de Riesgos

ISO/IEC 27005:2011
Information technology -- Security techniques -- Information
security risk management

 Fases del análisis de riesgos

– Establecimiento del contexto
– Evaluación del riesgo
– Tratamiento del riesgo
– Aceptación del riesgo
– Comunicación del riesgo
– Monitorización y revisión del riesgo

5
Análisis de Riesgos

 UNE-ISO 31000
Gestión del riesgo – Principios y directrices

6
Análisis de Riesgos

 MAGERIT Versión 3

7
Análisis de Riesgos

 Activo
– Componente o funcionalidad de un sistema de información susceptible
de ser atacado deliberada o accidentalmente con consecuencias para
la organización. Incluye: información, datos, servicios, aplicaciones
(software), equipos (hardware), comunicaciones, recursos
administrativos, recursos físicos y recursos humanos. [UNE
71504:2008]

UNE 71504:2008 Metodología de análisis y gestión de riesgos para

los sistemas de información

8
Metodología

 MAGERIT Versión 3

9
Metodología

 MAGERIT Versión 3

10
Inventario de activos

 Enfoque top-down
– Consiste en inferir los activos de información relacionados con los
procesos a partir de la descripción de los procesos.

 Enfoque bottom-up
– Consiste en identificar las principales aplicaciones, ficheros y bases de
datos utilizados por el proceso y conceptualizar la información que
almacenan y procesan.
– En este enfoque no se debe olvidar la importancia de la información no
automatizada que pueda ser relevante para el análisis y que en función
del alcance definido, puede formar parte del alcance del análisis de
riesgos.

11
Inventario

 Tamaño de la organización
 Coste económico
 Tiempo necesario
 Actualización

 Coste muy elevado

 Los inventarios no suelen estar completamente
automatizados

12
Análisis de Riesgos

UNE-ISO 28000
Especificación para los
sistemas de gestión de la
seguridad para la cadena
de suministro

13
Análisis de Riesgos

Escenario de riesgos
 Descripción del efecto de un conjunto determinado de
amenazas sobre un determinado conjunto de activos,
recursos y salvaguardas, teniendo en cuenta
determinadas hipótesis definidas.

14
Definir escenarios

 Impacto en el negocio
 Atributo
– Integridad
– Confidencialidad
– Disponibilidad
 Modelado de las amenazas

15
Modelado de Amenazas

 Es una técnica de ingeniería cuyo objetivo es ayudar a

identificar y planificar de forma correcta la mejor manera
de disminuir los riesgos a los que esta expuesta una
organización.

 Es un proceso que nos va a facilitar la comprensión de

las diferentes amenazas a las que esta expuesta una
organización o una instalación, y cuya finalidad es
ayudar a determinar las medidas de protección
adecuadas.

16
Modelado de Amenazas

 Se trata de identificar las amenazas y definir un plan de

acción adecuado que nos permita mitigar el riesgo a
unos niveles aceptables, de una forma efectiva y en
base a unos costes razonables.

 Contribuye a identificar y cumplir con los objetivos de

seguridad específicos de cada entorno y facilita la
priorización de tareas de protección en base al nivel de
riesgo resultante.

17
 Modelado de Amenazas
DEBE
– Identificar amenazas potenciales así como las condiciones
necesarias para que un ataque se logre llevar a cabo con éxito.
– Facilitar la identificación de las condiciones o aquellas
vulnerabilidades que, una vez eliminadas o contrarrestadas, afectan
a la probabilidad de materialización de múltiples amenazas.
– Proporcionar información relevante sobre cuales serían las
salvaguardas más eficaces para contrarrestar un posible ataque y/o
mitigar los efectos de la presencia de una vulnerabilidad en nuestra
organización.
– Proveer información sobre cómo las medidas actuales previenen la
materialización de las amenazas.
– Transmitir a la dirección la importancia de los riesgos a los que está
expuesta en términos de impacto de negocio.
– Proporcionar una estrategia sólida para evitar posibles brechas de
seguridad.
– Facilitar la comunicación y promover una mejor concienciación sobre
la importancia de la seguridad.
18
Modelado de Amenazas

Una de las técnicas de modelado de

amenazas son los árboles de ataque.

19
Arboles de ataque

 Para construir un árbol de ataque el objetivo del atacante se usa como raíz del árbol, y a
partir de éste, de forma iterativa e incremental se van detallando como ramas del árbol las
diferentes formas de alcanzar dicho objetivo, convirtiéndose las ramas en objetivos
intermedios que a su vez pueden refinarse.

 Al estudiar y analizar el conjunto de todos los posibles ataques a los que está expuesto un
objetivo, se acaba modelando un bosque de árboles de ataque. El conjunto de ataques a
estudiar esta formado tanto por ataques de carácter físico como cibernético, y como se ha
indicado anteriormente, se debe tener en cuenta la posibilidad de un ataque combinado.

 Un árbol de ataque estudia y analiza cómo se puede atacar un objetivo y por tanto permite
identificar qué salvaguardas se necesita desplegar para impedirlo. También permiten
estudiar las actividades que tendría que desarrollar el atacante y por tanto lo que necesita
saber y lo que necesita tener para realizar el ataque; de esta forma es posible determinar
la probabilidad de que el ataque se produzca, si se conoce quién pudiera estar interesado
en atacar el objetivo y se analiza su capacidad para disponer de la información,
habilidades y recursos necesarios para llevar a cabo dicho ataque.

 Para poder elaborar un árbol de ataque hay que analizar el escenario al que nos
enfrentamos y estudiar el problema desde el punto de vista en que haría el potencial
atacante.

20
Arboles de ataque

 Para construir un árbol de ataque el objetivo del

atacante se usa como raíz del árbol, y a partir de éste,
de forma iterativa e incremental se van detallando como
ramas del árbol las diferentes formas de alcanzar dicho
objetivo, convirtiéndose las ramas en objetivos
intermedios que a su vez pueden refinarse.

21
Arboles de ataque

 Al estudiar y analizar el conjunto de todos los posibles

ataques a los que está expuesto un objetivo, se acaba
modelando un bosque de árboles de ataque.

 Un árbol de ataque estudia y analiza cómo se puede

atacar un objetivo y por tanto permite identificar qué
salvaguardas se necesita desplegar para impedirlo.

22
Arboles de ataque

 Permiten estudiar las actividades que tendría que

desarrollar el atacante y por tanto lo que necesita saber
y lo que necesita tener para realizar el ataque; de esta
forma es posible determinar la probabilidad de que el
ataque se produzca, si se conoce quién pudiera estar
interesado en atacar el objetivo y se analiza su
capacidad para disponer de la información, habilidades y
recursos necesarios para llevar a cabo dicho ataque.

23
Arboles de ataque

 Para poder elaborar un árbol de ataque hay que analizar

el escenario al que nos enfrentamos y estudiar el
problema desde el punto de vista en que haría el
potencial atacante.

24
Arboles de ataque

 Son una herramienta gráfica para analizar y presentar

qué puede pasar y cómo lo prevenimos. Capturan de
alguna forma el razonamiento del atacante y permiten
anticiparse a lo que pudiera ocurrir.

 Aunque es difícil construir árboles exhaustivos en el

primer intento, sí son un buen soporte para ir
incorporando la experiencia acumulada y recopilar en
cada momento el mejor conocimiento del que se
dispone.

25
Arboles de ataque

Permiten realizar simulaciones

 ¿qué pasaría si introducimos nuevos activos?

 ¿qué pasaría si cambiamos las salvaguardas?
 ¿cómo lo enfocaría un atacante de perfil X?
 ……

26
Arboles de ataque

 Los árboles de ataque constituyen una documentación

extremadamente valiosa para un atacante,
especialmente cuando incorporan el estado actual de
salvaguardas, pues facilitan en extremo su trabajo.

 Son un documento clasificado y deben tomarse todas

las medidas de seguridad necesarias para garantizar su
confidencialidad.

27
Arboles de ataque

NODOS

 Lo más habitual, es que para alcanzar un objetivo o

subobjetivo se disponga de varias alternativas (nodos
OR); aunque en ocasiones se requiere la concurrencia
de varias actividades (nodos AND).

28
Arboles de ataque

 Una vez identificadas las diferentes formas de alcanzar

un objetivo, los nodos del árbol se pueden enriquecer
con información de detalle, que puede ser de muy
diferentes tipos:
– Conocimientos y capacidades que debe tener el atacante: ninguna
experiencia, alguna experiencia, conocimientos técnicos, etc.
– Medios económicos de los que debe disponer el atacante para preparar
y ejecutar el ataque.
– Medios materiales necesarios para la realización del ataque: tipo, coste,
dificultad de obtención, etc.
– Tiempo necesario para preparar y ejecutar el ataque
– Riesgo para el atacante, antes, durante y después del ataque,
probabilidad de detención, ¿qué consecuencias afrontaría?, etc.

29
Arboles de ataque

 Al analizar el árbol de ataque, la información de estos

atributos nos va a permitir obtener escenarios
simplificados de ataque:
– Atacantes inexpertos pero muy motivados con mucha financiación
– Atacantes profesionales pero sin capacidad de inversión (o sin
necesidad de realizar una inversión adicional para perpetrar este
ataque)
– Atacantes a los que no les importa sacrificar su propia vida
– Atacantes que quedarían impunes
– etc.

30
Arboles de ataque

 Para alcanzar estos escenarios especializados basta

eliminar del árbol las ramas que no satisfagan una
condición cualitativa o cuantitativa.

31
Arboles de ataque

 Los cálculos son sencillos y permiten trabajar con

diferentes niveles de refinamiento.
 Los nodos OR cuestan lo que el más barato de sus
hijos. Los nodos AND suman los costes.
 En el caso de analizar conocimientos, los nodos OR
requieren en conocimiento más bajo, mientras que los
nodos AND requieren el conocimiento del hijo más
sofisticado.
 Para tomar decisiones combinadas hay que ir al último
nodo de detalle, pues frecuentemente lo más barato y lo
más sofisticado son condiciones contradictorias.

32
Arboles de ataque

Sobre un árbol con atributos:

 Es posible determinar el ataque más probable,
simplemente extrayendo aquel ataque que requiere
menos medios y menos capacidades por parte del
atacante.
 Es posible determinar cuál será la línea de acción de un
posible perfil de atacante (que se determina en base al
tipo de instalación o activo que estamos protegiendo):
aquel que con menos coste satisfaga los requisitos
mínimos para realizar el ataque.

33
Salvaguardas

 Su efecto debe reflejarse sobre el árbol de ataque:

– Incrementando las capacidades y conocimientos que el atacante
necesitaría para alcanzar su objetivo pese a las salvaguardas
desplegadas
– Incrementando el coste económico que tendría que realizar el
atacante para alcanzar su objetivo a la vista de las salvaguardas
desplegadas
– Incrementando el tiempo necesario para alcanzar el objetivo.
– ……

34
Salvaguardas

 La implantación de un sistema de seguridad perfecto,

con todas las salvaguardas necesarias eliminaría todas
las ramas del árbol.

 Está solución no existe, la seguridad total no existe, es

imposible eliminar todos los riesgos.

35
Salvaguardas

 Un sistema de seguridad real se desarrolla implantando

salvaguardas, que modifiquen los atributos de los nodos
aumentando los niveles de capacidad, de conocimiento,
de inversión, etc, de forma que reduzcan la probabilidad
de que el ataque tenga éxito, hasta alcanzar el nivel de
riesgo aceptado por la Dirección.

36
Construcción del árbol

 La construcción del árbol es compleja y laboriosa

además de un gran conocimiento del objeto de
protección, de sus vulnerabilidades, de las amenazas a
las que esta expuesto, de las capacidades de los
atacantes potenciales, así como de las características y
efectividad de las medidas de seguridad o salvaguardas
aplicables.

 Marcar el objetivo final requiere un gran conocimiento de

dónde está el valor en la Organización y cual puede ser
el objetivo del atacante respecto del mismo.

37
Construcción del árbol

 El enriquecimiento del árbol de ataque en forma de

ramas debería ser exhaustivo; pero está limitado por la
imaginación del analista; si el atacante es “más listo”
tiene una oportunidad para utilizar una vía imprevista.

 La experiencia permite ir enriqueciendo el árbol con

nuevos ataques realmente perpetrados o simplemente
detectados en el perímetro con un buen sistema de
monitorización.

38
Construcción del árbol

 Hay que utilizar:

– La experiencia propia o ajena en situaciones similares
– Grupos de reflexión en los que de forma informal se van exponiendo
cosas que posiblemente pensarían los atacantes; estas sesiones
suelen generar mucho material en bruto que hay que organizar y
estructurar para ser utilizado como herramienta de análisis
– Herramientas de simulación que sugieran ataques en base a la
naturaleza de los activos presentes en el objeto de protección
– Información de inteligencia
– •…

39
Construcción del árbol

 Si se dispone de un modelo de valor, es posible utilizar

éste para determinar la naturaleza de los activos y las
dependencias entre ellos, de forma que podemos
elaborar el árbol de ataques en base al conocimiento de
los activos inferiores que constituyen la vía de ataque
para alcanzar los activos superiores en los que suele
residir el valor para la Organización

40
Escenarios

 Una vez se dispone de un árbol de ataque o un conjunto

de ellos formando un bosque, es el momento de analizar
todos los posibles escenarios que describen y
desarrollar la estrategia de protección adecuada.

41
Escenarios

 Para comenzar una evaluación se necesita considerar

los posibles escenarios de ataque, cada uno de ellos
que consiste en la materialización de una amenaza
potencial bajo circunstancias específicas.

 Es importante que los escenarios que se desarrollen

estén dentro del ámbito de posibilidades y como mínimo,
consideren las capacidades de los posibles atacantes y
sus intenciones conocidas, que se determinan de
acuerdo a las evidencias de eventos pasados y de la
información de inteligencia disponible.

42
Escenarios

 El número de escenarios a analizar lo debe determinar

el equipo evaluador.

 Se debe evitar realizar un número excesivo de

evaluaciones innecesarias sobre escenarios que
supongan un bajo impacto para la organización.

43
Escenarios

 Se debe realizar una evaluación de la criticidad de los

objetivos de protección, para centrar el esfuerzo sobre
los objetivos críticos.

 Escenarios similares, con variaciones menores, no

deben ser evaluados separadamente a no ser que haya
diferencias sustanciales en las consecuencias o las
vulnerabilidades.

44
Escenarios

 Cada escenario debe ser evaluado en términos del

potencial impacto consecuencia del ataque.

 Cada escenario debe ser evaluado en términos de la

vulnerabilidad de la instalación/sistema ante un ataque.

45
Escenarios

 La evaluación inicial de la vulnerabilidad debe realizarse

sin tener en cuenta las medidas de seguridad que
impliquen una disminución de las vulnerabilidades,
aunque dichas medidas de seguridad ya estén
implantadas.

 La evaluación de la vulnerabilidad sin medidas de

seguridad proporciona una línea base que muestra el
riesgo asociado con el escenario.

46
Escenarios

 Se debe determinar qué escenarios requieren de una

estrategia de mitigación del riesgo.

 Posteriormente a la implantación de las medidas de

seguridad, debe realizarse una evaluación de
comparación, para analizar y entender como dichas
medidas de seguridad mitigan el riesgo.

47
Escenarios
Identificar amenazas existentes

Listado de escenarios de amenazas

SI ¿Analizados?

NO

Seleccionar un escenario
Desarrollar un 
Plan de Seguridad
Determinar el impacto SI

Evaluar medidas de seguridad

Analizar las vulnerabilidades

Definir la estrategia de 
mitigación
Desarrollar nuevas medidas
NO
¿Adecuada?

48
La Gestión de la Seguridad

rcs@movistar.es
---------------------------------------------

49