Software">
Stride-Dread MTMT V1
Stride-Dread MTMT V1
Stride-Dread MTMT V1
STRIDE / DREAD
Universidad Tecnológica de Panamá
Facultad de Ingeniería de Sistemas Computacionales (FISC)
Maestría en Seguridad Informática
Aplicaciones Seguras
INTEGRANTES: Exposición No. 5
ABDIEL ALVEO CÉDULA: 8-864-535 Profesor Xiegdel Miranda
ALONSO PINTO CÉDULA: 2-728-227
BELISARIO TEJADA CÉDULA: 8-230-1447 3 de abril de 2023
Threat modeling
STRIDE es una técnica de modelado de amenazas que forma parte del Security Development Lifecycle (SDL)
de Microsoft. El objetivo del SDL es integrar la seguridad en todas las fases del ciclo de vida del desarrollo de
software, y STRIDE se utiliza como una de las herramientas para identificar y evaluar posibles amenazas de
seguridad en las primeras fases del ciclo de vida.
• Identificación de activos.
• Identificación de amenazas.
• Priorización de amenazas.
• Mitigaciión de amenazas.
• Verificación y Actualización.
Microsoft SDL
Este modelo agrupa en seis categorías, las amenazas que más afectan negativamente las empresas. Cada una de estos grupos afectan
directamente una propiedad de ciberseguridad.
Descomponer
aplicación
Determinar
riesgos
Clasificar las
amenazas
Mitigación
Base
Cliente Servidor dedatos
Base
Cliente Servidor dedatos
Roles Privilegios
Usuario regular Consulta información de la base de datos
Administrar de aplicación Consulta y modifica información de la base
de datos
Administrador de sistema Modifica recuros del servidor
Realiza respaldos de la base de datos
*Determinar los puntos en los que los datos pueden ser ingresados o extraídos por un usuario no autorizado
• Clientes pueden acceder desde redes externas al servidor de aplicación
• El diseño inicial para el servidor admite acceso mediante interfaz grafica y API por medio de HTTP
Microsoft SDL
Reproducibility( Re Explotability
Damage ( Daño)
producibilidad) (Aprovechamiento)
Damage+Reproducibility+Explotability
+Affected users+Discoverability
Amenaza Sistema
Calificación de las Amenazas
“Modelo DREAD”
D R E A D Vulnerabilidad
DREAD
D R E A D
Daño: Daño o Impacto Potencial resultado Explotabilidad: Complejidad y Descubrimiento: Facilidad para
de la Explotación de la Vulnerabilidad Costo de Explotar la Vulnerabil. Descubrir la Vulnerabilidad (Exposición)
R1 R4
Alta
Probabilidad
R5
R3
Rx R2