Asignatura Datos del alumno Fecha

Apellidos:
Seguridad en el
Software
Nombre:

Actividades

Trabajo: Metodologías de modelado de amenazas

Para seguir profundizando en el modelado de amenazas se propone realizar este trabajo

que contenga al menos el siguiente contenido:

» Introducción al modelado de amenazas.

» Estudio de metodologías existentes.
» Descripción de una metodología en profundidad.
» Ejercicio práctico de modelado de amenazas, utilizando una herramienta de
modelado como Threat Analysis and Modeling Tool 2014, del siguiente caso que se
describe a continuación (incluir los ficheros generados por la herramienta junto con
el del trabajo en un fichero a subir en la plataforma).

Caso práctico

Con objetivo de afianzar los conocimientos adquiridos sobre el modelado de amenazas,

se pide el definir, modelar y medir las posibles amenazas de una tienda de libros online,
llamada Librería On-Line SA.

Últimamente, ha sufrido un ciberataque que ha comprometido las credenciales de sus

clientes. El incidente ha trascendido en los medios de comunicación, lo que ha
producido una pérdida de cuota de mercado importante, frente a sus competidores.

Con el objetivo de mantener su actual posición en el mercado de venta electrónica de

libros y volver a recurar e incluso superar la que tenía, ha contratado a la empresa
InfoSecurity para llevar a cabo un trabajo de modelado de amenazas a sus sistemas
TI e implementar las salvaguardas que se deriven del mismo en función del nivel de
riesgo y la disponibilidad económica. Se le establece los siguientes requisitos de negocio
y técnicos:

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el
Software
Nombre:

» Habrá tres tipos de usuarios en la aplicación: clientes, administrador TI y agente de

ventas
» Los clientes deben poder buscar productos y gestionar sus pedidos utilizando la
tienda web o llamando a la oficina de ventas.
» Para que un cliente pueda realizar un pedido el cliente debe, con anterioridad,
registrase para crearle una cuenta.
» El cliente puede pagar con una tarjeta de crédito, débito o mediante trasferencia
bancaria.
» Los clientes deben iniciar sesión antes para poder personalizar sus preferencias.
» Los clientes deben ser capaces de revisar y modificar sus pedidos realizados.
» Los agentes de ventas pueden conceder descuentos a los clientes.
» Los administradores pueden modificar y eliminar clientes y productos e
información.
» La tienda web de la librería tendrá que ser accesible desde Intranet e Internet.
» La tienda web deberá diseñarse con una arquitectura distribuida por razones de
escalabilidad.
» El cliente necesitará autenticarse en la tienda web con las credenciales de la cuenta
de usuario, que a su vez se comprobarán contra la base de datos implementada en el
backend de la compañía, a través de una interfaz de servicios web.
» La información de la cuenta del usuario y la información del producto deberán
mantenerse en una base de datos relacional.
» El procesamiento de tarjetas de crédito será subcontratado a un procesador de
terceros.
» Las interacciones de los usuarios con la tienda web se almacenan en un servidor de
log interno de la organización.
» La base de datos deberá copiarse periódicamente en una ubicación de un proveedor
de servicios TI de terceros, para propósitos de recuperación ante desastres.
» El sitio web se diseñará lógicamente como una aplicación cliente/servidor
distribuida conforme a un modelo de tres capas: presentación, proceso y datos.
» Los clientes accederán a la aplicación utilizando navegadores web de escritorio, y
dispositivos móviles.
» El sitio web se desplegará en Internet protegido por una DMZ de dos capas con
acceso tanto para usuarios internos como externos.

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el
Software
Nombre:

» Físicamente, la aplicación estará completamente alojada en un servidor de

aplicaciones (Frontend) alojado en la DMZ, con acceso a un servidor de base de
datos que estará en la red interna de la compañía (Backend).
» Las tecnología utilizada en el desarrollo de la aplicación web es ASP.Net utilizando C
# y la base de datos del backend de la compañía está implementada en base al
producto Microsoft SQL Server.

Los objetivos de seguridad establecidos para la tienda web de Librería On-Line SA son
los siguientes objetivos:

OB-1. Recuperar la imagen de la compañía deteriorada tras el ciberincidente ocurrido.

OB-2. Obtener la posición líder de mercado en venta de libros online.
OB-3. Mantener confidencialidad, integridad y disponibilidad de la información
almacenada y trasmitida.
OB-4. Proporcionar un servicio seguro a los clientes existentes y potenciales.
OB-5. Proporcionar un servicio ininterrumpido a los clientes existentes y potenciales.
Se aplicarán técnicas de monitorización, equilibrio de carga, replicación,
recuperación ante desastres y continuidad del negocio y copias de seguridad
recuperables
OB-6. Proporcionar una experiencia de usuario mejorada a los clientes existentes y
potenciales.
OB-7. Se establecerán procesos de autenticación, autorización y auditoría.

El sistema estará basado en una típica arquitectura de una aplicación web de tres capas,
donde el cliente es un navegador que accede a los servicios proporcionados por el sitio
web de la librería, que contiene una base de datos de los clientes, cuentas y
publicaciones disponibles, alojada en un servidor de bases de datos y un servidor web
que implementa toda la lógica de negocio.

Tener en cuenta que nos encontramos en la fase análisis de requisitos del SDLC,
identificando requisitos funcionales y de seguridad.

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el
Software
Nombre:

Realización del diagrama DFD de la arquitectura de la aplicación

Para la realización del DFD se utilizará la herramienta Threat Analysis and Modeling
Tool 2016 de la compañía Microsoft, descargable en el siguiente enlace:

Accede a más información a través del aula virtual o desde la siguiente dirección web:
https://www.microsoft.com/en-us/download/details.aspx?id=49168

Como ayuda a su manejo, aparte de los manuales que se pueden descargar con
esta herramienta, se aconseja visionar estos dos videos:

» AppSecEU 16 - Matthias Rohr - Practical Threat Modeling with Microsofts Threat

Modeling Tool 2016. https://www.youtube.com/watch?v=C5IPkuDnOGs
» Microsoft SDL Unit04 - Threat Modeling Principles (Level 100).
https://www.youtube.com/watch?v=WGz2JQ1OlGQ

La aplicación permite analizar las amenazas de una aplicación web típica de negocio de
pago electrónico de una librería (textos, libros, revistas, etc.), en formato digital con
opciones de impresión. El sistema está basado en una típica arquitectura de una
aplicación web de tres capas, donde el cliente es un navegador que acceder a los
servicios proporcionados por el sitio web de la librería, que contiene una base de datos
de los clientes, cuentas y publicaciones disponibles, alojada en un servidor uno de bases
de datos (que replica a un hosting externo para tener un backup), un servidor web que
implementa toda la lógica de negocio, una servidor de logs interno como podrían ser un
SIEM y por último un acceso a una pasarela de pagos externa

Tener en cuenta que nos encontramos en la fase análisis de requisitos del SDLC,
identificando requisitos funcionales y de seguridad.

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el
Software
Nombre:

Información Back-up datos a un

almacenada en tercero
base de datos
Puerto 1433
TCP/IP
Autenticación
Puerto 443
Agente de Aplicación Web Información
HTTP Formulario
Ventas en transito
autenticación
SQL
Server

Puerto 443 Información

TLS en transito
Envió log
Cliente
Servidor ISS
Administrador Servidor de log Procesador
Central de la de tarjetas
Compañia Datos Proceso Presentación de crédito
externo

Topología lógica de la aplicación

Os propongo modelar la aplicación mediante el siguiente diagrama DFD que constituye

una representación gráfica que agiliza el proceso de modelado de requerimientos y al
mismo. En la siguiente figura os muestro un modelo básico como ayuda a la realización
del diagrama DFD de la aplicación propuesta. No olvidar configurar las propiedades de
cada elemento del diagrama, por ejemplo, configurar autenticación y autorización en el
servidor web protegerá de posibles amenazas y la herramienta lo tendrá en cuenta a la
hora de calcularlas. Además saldrán amenazas repetidas. Es decir, se tendrán menos
amenazas. Un ejemplo puede ser el siguiente, aunque el alumno lo puede modelar de
forma diferente según considere:

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el
Software
Nombre:

Posible diagrama DFD de la aplicación.

La herramienta Threat Modeling Tool 2016 tiene dos vistas:

» Una de diseño para dibujar el diagrama DFD de la aplicación.

» Una de análisis que calcula las amenazas automáticamente y permite incluir las
salvaguardas manualmente.

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el
Software
Nombre:

Selección de vitas

Vistas Threat Analysis and Modeling Tool 2014.

Una vez dibujado el diagrama anterior en la herramienta (u otro que consideréis

adecuado para vuestro diseño) produce un análisis automático por cada elemento de la
lista de componentes definidos en el diseño, mediante el método STRIDE, tomando
como base la siguiente matriz siguiente:

Relación entre las amenazas del método STRIDE y los elementos de un diagrama DFD.

Cuando se selecciona la vista de análisis, la herramienta mostrará las amenazas

sugeridas para el diagrama de flujo de datos dibujado, donde al clicar en cada una de

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el
Software
Nombre:

ellas nos permite introducir las salvaguardas que consideremos y el análisis DREAD del
paso de la metodología.

Vista análisis Threat Analysis and Modeling Tool.

Antes es necesario cargar la plantilla, descargable de la plataforma, «caso1.tb7» (este

archivo se dejará en el foro, se les enviará a sus carpetas de descarga o se descarga
desde el siguiente enlace:

Accede al enlace a través del aula virtual.

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el
Software
Nombre:

Y cargarla mediante el menú Aply Template, según la figura:

Aplicación de Plantilla

Aplicación de plantilla.
Valorar las amenazas

Una vez que tenemos identificada la lista de amenazas, el siguiente paso consiste en
puntuarlas de acuerdo al riesgo que suponen. Esto nos permitirá priorizar las
actuaciones a efectuar para mitigar el riesgo.

Para ello utilizaremos el método DREAD (Damage, Reproducibility, Exploitability,

Affected, DIscoverability), en castellano: Daño potencial, Reproductividad,
Explotabilidad, Usuarios afectados, Descubribilidad. El riesgo se puede cuantificar
como el resultado de multiplicar la probabilidad de que la amenaza se produzca, por el
daño potencial de esta.

Riesgo = Probabilidad x Impacto potencial= (R+E+DI) x (D+A) = PxI

Cada valor se cuantifica con un valor entre 1 y 3. En la herramienta se incluye este

análisis modificando las pestañas DREAD (Damage, Reproducibility, Exploitability,
Affected, DIscoverability) a valores de high, medium y low. Realizarlo para todas las
amenzas.

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el
Software
Nombre:

Significado de cada componente valoración del método DREAD.

Se rellena despues para cada amenaza la siguiente tabla, en la que se incluye un

ejemplo:

Probabilidad Impacto P I Riesgo

de Ocurrencia Potencial
(P) (I)
Amenaza R E DI D A (R+E+DI) (D+A) PxI
Inyección de comandos SQL 3 2 2 3 3 7 6 42

Calculo el riesgo.

El alumno deberá incluir en la memoria esta tabla rellena con al menos 15 de las
amenazas obtenidas de la de la herramienta Threat Analysis and Modeling Tool 2016.
Se valorará que se implemente en idioma español. En la herramienta deberán estar
analizadas todas.

Salvaguardas

Una vez calculado el riesgo con el método DREAD, hay que incluir en la herramienta
manualmente para cada una las salvaguardas que ayuden a mitigarlas. Si se quiere un
catálogo más completo de salvaguardas consultar el Libro II de la Metodología
MAGERIT.

Disponible en:
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/
pae_Metodolog/pae_Magerit.html#.U2_oe2CKB2E

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el
Software
Nombre:

También se puede utilizar como guía el siguiente diagrama:

Salvaguardadas aplicación web.

También se puede usar la siguiente tabla:

Amenazas Propiedad Salvaguardas

Spoofing identity
(Suplantación de
Identidad)
Tampering with Data
(Manipulación de datos)
Repudiation (Repudio)
Information Disclosure
(Revelación de
información)
Denial of Service
(Denegación de servicio)
Elevation of Privilege
(Elevación de privilegios)
Autenticación  Procesos de Autenticación, Autorización
y Auditoría (AAA): hash, firma digital.
 Protección de secretos
 No almacenamiento de secretos
 Single Sign On
 IPSEC
Integridad  Procesos de AAA: hash, firma digital.
 Códigos de autenticación de mensajes.
 Firmas digitales.
 Protocolos resistentes a la manipulación.
 Listas control de acceso ACL
No Repudio  Procesos de Autenticación: hash, firma
digital.
 Procesos de Auditoría.
 Sellado de tiempo.
Confidencialida  Procesos de AAA: hash, firma digital.
d  Protección de secretos
 No almacenamiento de secretos.
 Protocolos seguros.
 Encriptado.
Disponibilidad  Procesos de AAA: hash, firma digital.
 Listas control de acceso ACL.
 Calidad de servicio.
Autorización  Listas control de acceso ACL.
 Control de acceso basado en roles.
 Trabajar con el mínimo privilegio.
 Validación de entradas
Salvaguardas método STRIDE.

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el
Software
Nombre:

Entrega

Incluir el fichero con extensión .tm7 que genera la herramienta y el informe que se
puede generar con la misma.

Extensión aproximada: 15-20 páginas (Georgia 11, interlineado 1,5).

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)