Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Mitigar (M), detallar las contramedidas, acciones que se deben aplicar para mitigar las amenazas
Ejemplo
Etapa II, Identificar todas las posibles amenazas juntos con los expertos o personas involucradas. Esto
depende del contexto y el valor.
Etapa III, Detallar las contramedidas. Lista de medidas para mitigar o resolver las amenazas identificadas
en la etapa anterior.
Esto permite pasar de una posición reactiva a una proactiva, nos permite encontrar problemas de
seguridad antes de que sucedan. Esto lo hace robustos y no pone en riesgo la disponibilidad del software.
INSTRUMENTACION
Terminología Base
Exploit, ataques que ya fueron ejecutados e identificados. Deben ser resueltos con máxima prioridad.
Superficie de Ataque, describe los puntos de entrada a vectores de ataque. Lugares donde se puede ser
ingreso de un ataque
Límite de Confianza, cuando existe movimiento de información entre dos puntos, entre dos sistemas,
existe un limite de confianza. Por ejemplo, nosotros nos podemos hacer cargo de los datos hasta que salen
de nuestro sistema o contexto empresarial, incluyendo todos los procesos. Esto nos permite entender que
hasta ese punto podemos controlar la información. Esto Limites de confianza son potenciales espacios de
amenazas a la integridad.
Esto son las accionables a los Riesgos
Centrado en el Software
Se centra en analizar los procesos. Establece una línea de confianza base (punto de entrada y salida de
datos hacia el software). Se debe enfocar los esfuerzos en contener los posibles riesgos desde nuestro
lado de confianza.
Centrado en Activos
Es el más costoso, ya que se centra en analizar en base al conocimiento del ataque puntual, probando
cada algoritmo dentro del contexto del Software, y cuales podrían ser las maneras de llevarla a cabo.
Esto es muy útil cuando se están solucionando los exploit (ataques que ya han sucedido). Con esto, se
debe comenzar a elaborar el árbol de posibles riesgos para poder identificar las soluciones.
CASO DE ESTUDIO – PImage
Flujo de Trabajo
Debe ser decidido por cada equipo de trabajo, siguiendo las convenciones de la metodología
Se tienen 3 momentos
Momento A (Definir y Precisar), definir los requerimientos de seguridad y precisar que la información con
la que contamos para realizar MDA sea correcta, precisa y esté disponible.
Momento B, inicia cuando el Momento A estén listos. Entonces comienza la aplicación de descomponer
(punto tres) el sistema el software de análisis en cuestión. Como punto cuatro, identificar las amenazas. Y
como punto cinco y seis, tomar decisiones sobre las acciones que se van a aplicar. Recuerden que las
acciones pueden ser, mitigar, transferir, eliminar o aceptar.
Una vez que se toman estas decisiones entre comillas primera versión de las decisiones, es necesario
validarlas, para que el equipo esté de acuerdo y consciente de las acciones que se van a tomar.
2. Precisar Información
- “Alguien” debe conocer y entender cada pieza del sistema a ser analizado
- Se debe incluir las personas necesarias: Devs, Arquitectos, Managers, y cualquier otro que
garantice la fiabilidad de la información
- Preguntar por puntos ciegos, verificando si existe algo se pueda estar omitiendo entre distintas
áreas.
- Describir la infraestructura, implica describir como, donde se despliega, cuales son los procesos
para la instalación, la compilación y la entrega del producto de software.
- Información del contexto funcional, explica los tipos de usuarios que pueda tener el sistema, el
contexto tipo humano o procedimental que pueda llegar afectar o ser tomado en cuenta como
amenaza para el sistema.
3. Descomponer
Esta información se documenta en un documento del modelo de amenazas resultante. También se utiliza
para producir diagramas de flujo de datos (DFD) para la aplicación. Los DFD muestran los diferentes
caminos a través del sistema, resaltando los límites de los privilegios.
El objetivo de este paso es comprender la aplicación y cómo interactúa con entidades externas. Este
objetivo se logra mediante la recopilación de información y la documentación. El proceso de recopilación
de información se lleva a cabo utilizando una estructura claramente definida, que garantiza que se
recopile la información correcta.
Se deben aplicar STRIDE sobre el paso anterior (Descomponer). Esto esta categorizado de la siguiente
forma:
CATEGORIA DESCRIPCIÓN
A1.- Agente externo envía enlace falso a usuario real para intentar
S Spoofing
obtener credenciales.
A2.- Envío de ataque Cross Site Scripting (XSS) con intención de alterar
T Tampering
el sistema de archivos en el servidor.
A3.- Ya que usuarios anónimos pueden subir imágenes, estos pueden
R Repudiation
negar que conocían los términos y condiciones de uso.
A.4.- Sniffer podría obtener URLs de comunicación (HTTP), descifrar o
I Information Disclosure revisar credenciales.
A5.- Sniffer podría interceptar imágenes y utilizarlos con otros fines.
A6.- Almacén de imágenes llega al límite, no puede recibir más
D Denial of Service archivos.
A7.- DDoS con imágenes al Sistema Web (Ataque a recursos)
A8.- Usuario anónimo podría intentar realizar acciones de un usuario
E Elevation of Privilege
administrador.
5. Decidir Acciones
DREAD es un esquema de clasificación para cuantificar, comparar y dar prioridad a la cantidad de riesgo
que presenta una amenaza específica. El acrónimo DREAD se forma a partir de la primera letra del
nombre en inglés de cada una de las categorías evaluadas.
Ofrece una categorización de cinco niveles de evaluación de un riesgo. Mediante estas cinco propiedades
podemos analizar en detalle un riesgo de nuestro sistema o componente software, para después
establecer una medida que nos indique su criticidad y por lo tanto la priorización entre los riesgos
analizados.
Se debe establecer una escala de riesgo. Pueden ser de tres niveles (como básico), esto esta definido por
la propia organización.
- Bajo = 1
- Medio = 2
- Alto = 3
Después, asignar un valor de riesgo a partir de la escala a cada una de las amenazas en un cuadro.
AMENAZA D R E A D Riesgo
Agente externo envía enlace falso a usuario real para
A1 3 2 2 2 1 2
intentar obtener credenciales.
Envío de ataque Cross Site Scripting (XSS) con intención de
A2 1 1 2 1 1 1,2
alterar el sistema de archivos en el servidor.
Ya que usuarios anónimos pueden subir imágenes, estos
A3 pueden negar que conocían los términos y condiciones de 1 1 3 1 3 1,8
uso.
Sniffer podría obtener URLs de comunicación (HTTP),
A4 3 3 3 2 1 2,4
descifrar o revisar credenciales.
Sniffer podría interceptar imágenes y utilizarlos con otros
A5 1 3 2 3 2 2,2
fines.
Almacén de imágenes llega al límite, no puede recibir más
A6 1 1 1 3 1 1,4
archivos.
A7 DDoS con imágenes al Sistema Web (Ataque a recursos). 1 3 3 3 3 2,6
Usuario anónimo podría intentar realizar acciones de un
A8 3 1 2 3 1 2
usuario administrador.
Seguido, calcular el riesgo mediante el algoritmo indicado abajo. El algoritmo de cálculo de riesgo DREAD
que se muestra a continuación, se fija en base a un promedio de las cinco categorías contempladas en el
modelo de cálculo:
El cálculo de cada una de las categorías de riesgo siempre produce un número entre 0 y 10; cuanto mayor
sea el número, más grave es el riesgo.
Daño potencial:
Si una amenaza fuese explotada, ¿Cuánto daño causaría?
0 = Nada
1 = Datos de los usuarios individuales comprometidos o afectados.
3 = Destrucción de datos del sistema comleto
Reproductibilidad:
¿Es fácil de reproducir la amenaza a explotar?
0 = Muy difícil o imposible, incluso para los administradores de la aplicación.
1 = Uno o dos pasos necesarios, puede ser necesario un usuario autorizado.
3 = Sólo un navegador web y la barra de direcciones es suficiente, sin necesidad de autenticación.
Explotabilidad:
Lo que se necesita para aprovechar esta amenaza.
0 = Conocimientos avanzados de programación y de redes, con herramientas de ataque personalizadas o
avanzadas.
2 = Malware existente en el Internet, o un exploit fácil de realizar con las herramientas disponibles en la
web.
3 = Sólo un navegador web.
Detectabilidad:
¿Es fácil descubrir esta amenaza?
0 = Muy difícil o imposible, requiere el código fuente o acceso administrativo.
2 = ¿Se puede averiguar de adivinar o mediante el control de trazas de red?
3 = Detalles de fallas de este tipo son ya de dominio público y puede ser fácilmente descubierto usando
un motor de búsqueda.
6. Validar
- Evaluación retrospectiva de las etapas (1 al 5) para verificar si estamos de acuerdo con lo
identificado; es decir, revisar cada uno de los puntos como si se estuviera haciendo de nuevo cada
uno, pero comparando con los resultados que ya se obtuvieron.
- Esto permite una revisión doble y re-calculo, que es sumamente importante en el proceso MdA.
- Una vez conforme con todo lo verificado, es aprobado en equipo de trabajo.