Professional Documents
Culture Documents
FRSF
objetivo
El
del modelado de amenazas es:
Ganar una comprensin tanto de la aplicacin de software mediante su descomposicin
como de la manera en que interacta con entidades externas. Esto se logra mediante la
recoleccin y documentacin de informacin dentro de una estructura claramente definida,
lo que garantiza que se ha recolectado la Informacin correcta.
Conozcamos TRIKE
Trike es una metodologa de modelado de amenazas
alternativa a STRIDE y DREAD propuestos por Microsoft.
TRIKE
Es decir, los creadores de Trike, aportan a la comunidad open source, un framework y una
metodologa conceptual, acompaada por una herramienta que intenta facilitar el proceso de
modelado.
http://www.octotrike.org/
Qu hace Trike?
El objetivo de la herramienta Trike es automatizar las
partes repetitivas de modelado de amenazas, por lo que
todo lo que el analista tiene que hacer es analizar el
sistema.
Genera
automticamente
amenazas ( y algunos
ataques) en base a una descripcin
del sistema, pero esto requiere que
el usuario le describa el sistema a
Trike y que luego verifique si esas
amenazas y ataques se aplican.
Tools
-
Spreadsheet:
-
Standalone Tool:
-
Actores:
Activos (Assets):
Acciones:
Dos categoras:
Denegacin de servicio: acciones
pretendidas no pueden suceder.
Elevacin de privilegios: la accin
se produce a pesar de las reglas.
Cmo descargarlo ?
Entrar en la siguiente direccin:
http://www.octotrike.org/tools.shtml
Cmo descargarlo ?
Bibliografa
Pginas Web:
http://www.octotrike.org/
https://www.owasp.org/images/b/b2/OWASP_Development_Guide_2.0.1_Spanish.pdf
http://es.slideshare.net/alpin984/analisis-ymodeladodeamenazas
Libro:
Core Software Security, captulo 4Arquitecura (A2), pg. 23.