UTN

FRSF

La parte ms laboriosa y menos comprendida del SDL es el

MODELADO DE AMENAZAS Y VALIDACIN DE LA SUPERFICIE
DE ATAQUE. Llevar a cabo estas actividades a lo largo de todo
el SDL permitirn maximizar nuestra capacidad para poder
reducir el nmero de vulnerabilidades de seguridad
presentes en el software.

Quines participan en el modelado y anlisis de amenazas?

Usualmente el modelado de amenazas y el anlisis de la seguridad arquitectnica
caen en el dominio de:

Arquitectos senior de la seguridad de software

Requieren de una mayor experiencia y experticia que
cualquiera de las tareas dentro del SDL. Las personas
del equipo que hacen esto deben ser capaces de pensar
como un adversario.
Los desarrolladores y miembros de equipo que se integren
en este proceso deben saber no slo como desarrollar o
construir software, sino tambin cmo descomponer
tanto el software como su arquitectura, mientras piensan
como un adversario.

objetivo

El
del modelado de amenazas es:
Ganar una comprensin tanto de la aplicacin de software mediante su descomposicin
como de la manera en que interacta con entidades externas. Esto se logra mediante la
recoleccin y documentacin de informacin dentro de una estructura claramente definida,
lo que garantiza que se ha recolectado la Informacin correcta.

Desde una perspectiva de la seguridad, el objetivo clave en el modelado de amenazas es

ganar una comprensin de como se ven las cosas que parecen funcionar exitosamente.

Conozcamos TRIKE
Trike es una metodologa de modelado de amenazas
alternativa a STRIDE y DREAD propuestos por Microsoft.

STRIDE es ms bien un sistema de

clasificacin de amenazas:
Spoofing Identity (Suplantacin de
identidad)
Tampering with Data (Manipulacin de
datos)
Repudiation (Repudio)
Information Disclosure (Revelacin de
informacin)
Denial of Service (Denegacin de servicio)
Elevation of Privilege (Elevacin de
privilegios)

DREAD es un modelo que nos facilitar la puntuacin :

Damage potential (Dao potencial): Cual es el dao
que puede originar la vulnerabilidad si llega a ser
explotada?
Reproducibility
(Reproducibilidad):
Es
fcil
reproducir las condiciones que propicien el ataque?
Exploitability (Explotabilidad): Es sencillo llevar a
cabo el ataque?
Affected users (Usuarios afectados): Cuantos
usuarios se veran afectados?
Discoverability (Descubrimiento): Es fcil encontrar la
vulnerabilidad?

TRIKE

Es un marco de trabajo conceptual unificado para auditar la seguridad desde

una perspectiva de la gestin de riesgo mediante la generacin de modelos de
amenaza de una manera confiable y repetible.

Es decir, los creadores de Trike, aportan a la comunidad open source, un framework y una
metodologa conceptual, acompaada por una herramienta que intenta facilitar el proceso de
modelado.

http://www.octotrike.org/

La metodologa, est diseada con el propsito de permitir describir de forma completa y

precisa las caractersticas de seguridad de un sistema, desde los detalles de alto nivel de la
arquitectura, hasta la implementacin. O al menos en teora. ;)

Qu hace Trike?
El objetivo de la herramienta Trike es automatizar las
partes repetitivas de modelado de amenazas, por lo que
todo lo que el analista tiene que hacer es analizar el
sistema.

Trike tiene similitudes con el proceso de modelado de amenazas de Microsoft. Sin

embargo, se diferencia utilizando un enfoque basado en el riesgo con implementacin,
modelos de amenaza y riesgo distintos, en vez de utilizar un modelo de amenaza mixto
(ataques, amenazas y debilidades) como se representan por STRIDE / DREAD.
Se distingue por los altos niveles de
automatizacin posibles dentro del sistema, la
perspectiva defensiva del sistema, y el grado de
formalismo presente en la metodologa.

Genera
automticamente
amenazas ( y algunos
ataques) en base a una descripcin
del sistema, pero esto requiere que
el usuario le describa el sistema a
Trike y que luego verifique si esas
amenazas y ataques se aplican.

Un elemento clave de Trike es el

empoderamiento,
involucramiento y
comunicacin
con las partes interesadas claves, con un progreso
completo y transparencia del estado de la tarea de
tal manera que ellas conocen el nivel de riesgo y
pueden evaluar la aceptacin del riesgo a lo largo
del proceso de desarrollo de software.

Tools
-

Spreadsheet:
-

Casi todo el mundo que est utilizando actualmente Trike para

crear modelos de amenaza de los sistemas actuales est
utilizando la hoja de clculo.

Standalone Tool:
-

Esta herramienta fue escrita en Smalltalk, especficamente

Squeak. Trike 1.1.2

Definiciones para entender la metodologa de

trabajo:

Actores:

Personas que interactan

directamente con el sistema.
No son actores:
Programas
Programadores
Administradores de Red

Definiciones para entender la metodologa de

trabajo:

Activos (Assets):

Todo lo que es atacable dentro del sistema.

Entidades de datos normalmente atacables.
No son activos:
Reputacin de la empresa.
Tiempo de actividad del sistema.
Hardware del sistema.

Definiciones para entender la

metodologa de trabajo:

Acciones:

Los actores realizan acciones sobre

los activos de acuerdo con las
reglas.
Las acciones se descomponen en
crear, leer, actualizar y eliminar.

Definiciones para entender la

metodologa de trabajo:
Reglas:

Las reglas para una accin son un

conjunto de fragmentos de
oraciones declarativas conectadas
por conectores lgicos (y, o, y no).
Las reglas deben ser consistentes
en la redaccin y terminologa,
para facilitar el anlisis.

Definiciones para entender la

metodologa de trabajo:
Amenazas:

Dos categoras:
Denegacin de servicio: acciones
pretendidas no pueden suceder.
Elevacin de privilegios: la accin
se produce a pesar de las reglas.

Cmo descargarlo ?
Entrar en la siguiente direccin:

http://www.octotrike.org/tools.shtml

Cmo descargarlo ?

Descargar la Hoja De Clculo.

Bibliografa
Pginas Web:
http://www.octotrike.org/
https://www.owasp.org/images/b/b2/OWASP_Development_Guide_2.0.1_Spanish.pdf
http://es.slideshare.net/alpin984/analisis-ymodeladodeamenazas

Libro:
Core Software Security, captulo 4Arquitecura (A2), pg. 23.