Software">
Nothing Special   »   [go: up one dir, main page]
Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 92 vistas

    Stride-Dread MTMT V1

    Cargado por

    abdiel Alveo
    El documento describe el modelo STRIDE para la identificación de amenazas. STRIDE es un acrónimo que representa seis categorías de amenazas: suplantación, alteración, repudio, divulgación de información, denegación de servicio y elevación de privilegios. El modelo ayuda a evaluar las principales amenazas de seguridad de un sistema y a identificar problemas en las primeras etapas del desarrollo de software.

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd

    Stride-Dread MTMT V1

    Cargado por

    abdiel Alveo
    92 vistas25 páginas
    El documento describe el modelo STRIDE para la identificación de amenazas. STRIDE es un acrónimo que representa seis categorías de amenazas: suplantación, alteración, repudio, divulgación de información, denegación de servicio y elevación de privilegios. El modelo ayuda a evaluar las principales amenazas de seguridad de un sistema y a identificar problemas en las primeras etapas del desarrollo de software.

    Descripción original:

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PPTX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    El documento describe el modelo STRIDE para la identificación de amenazas. STRIDE es un acrónimo que representa seis categorías de amenazas: suplantación, alteración, repudio, divulgación de información, denegación de servicio y elevación de privilegios. El modelo ayuda a evaluar las principales amenazas de seguridad de un sistema y a identificar problemas en las primeras etapas del desarrollo de software.

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Descargar como pptx, pdf o txt
    92 vistas25 páginas

    Stride-Dread MTMT V1

    Cargado por

    abdiel Alveo
    El documento describe el modelo STRIDE para la identificación de amenazas. STRIDE es un acrónimo que representa seis categorías de amenazas: suplantación, alteración, repudio, divulgación de información, denegación de servicio y elevación de privilegios. El modelo ayuda a evaluar las principales amenazas de seguridad de un sistema y a identificar problemas en las primeras etapas del desarrollo de software.

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Descargar como pptx, pdf o txt
    de 25

    MODELADO DE AMENAZAS

    STRIDE / DREAD
    Universidad Tecnológica de Panamá
    Facultad de Ingeniería de Sistemas Computacionales (FISC)
    Maestría en Seguridad Informática
    Aplicaciones Seguras
    INTEGRANTES: Exposición No. 5
    ABDIEL ALVEO CÉDULA: 8-864-535 Profesor Xiegdel Miranda
    ALONSO PINTO     CÉDULA: 2-728-227
    BELISARIO TEJADA CÉDULA: 8-230-1447 3 de abril de 2023
    Threat modeling
    STRIDE es una técnica de modelado de amenazas que forma parte del Security Development Lifecycle (SDL)
    de Microsoft. El objetivo del SDL es integrar la seguridad en todas las fases del ciclo de vida del desarrollo de
    software, y STRIDE se utiliza como una de las herramientas para identificar y evaluar posibles amenazas de
    seguridad en las primeras fases del ciclo de vida.

    • Identificación de activos.
    • Identificación de amenazas.
    • Priorización de amenazas.
    • Mitigaciión de amenazas.
    • Verificación y Actualización.

    UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 2


    research
    STRIDE
    El acrónimo STRIDE se utiliza en el contexto de la seguridad de la información y es una técnica de modelado
    de amenazas que se utiliza para identificar posibles amenazas a un sistema o aplicación. STRIDE es un
    acrónimo de las siguientes palabras:

    •S: Spoofing - suplantación de identidad o falsificación de datos – Autenticidad.


    •T: Tampering - manipulación de datos o de sistemas - Integridad
    •R: Repudiation - repudio o negación de una acción o transacción – No repudio.
    •I: Information Disclosure - divulgación no autorizada de Información – Confidencialidad.
    •D: Denial of Service - denegación de servicio o interrupción del servicio – Disponibilidad.
    •E: Elevation of Privilege - elevación de privilegios – Autorización.

    UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 3


    research
    STRIDE – Spoofing Identity

    •Esta clase de amenazas implica que los usuarios no


    deberían tener la capacidad de suplantar a otros usuarios.
    Es crucial implementar un sistema de autenticación
    adecuado y prestar especial atención a los temas
    relacionados con el uso de sesiones, para así prevenir el
    robo de información a través de su uso indebido.

    UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 4


    research
    STRIDE – Tampering with data

    •Se busca garantizar que los datos se mantengan íntegros y


    precisos, evitando así posibles robos o alteraciones
    malintencionadas. Por ejemplo, las tiendas utilizan sellos en los
    productos alimenticios para garantizar que el contenido no ha
    sido manipulado desde su envasado original, lo que proporciona
    seguridad y confianza al consumidor. De esta manera, es
    importante implementar medidas de seguridad y autenticación
    adecuadas para proteger los datos y mantener su integridad.

    UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 5


    research
    STRIDE – Tampering with data

    •Se busca garantizar que los datos se mantengan íntegros y


    precisos, evitando así posibles robos o alteraciones
    malintencionadas. Por ejemplo, las tiendas utilizan sellos en los
    productos alimenticios para garantizar que el contenido no ha
    sido manipulado desde su envasado original, lo que proporciona
    seguridad y confianza al consumidor. De esta manera, es
    importante implementar medidas de seguridad y autenticación
    adecuadas para proteger los datos y mantener su integridad.

    UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 6


    research
    STRIDE
    Que es?
    Es un modelo de identificación de amenazas creado por Praerit Garg y Loren Kohnfelder en Microsoft para la identificación de amenazas de
    seguridad.

    Microsoft SDL

    UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 7


    research
    STRIDE
    Objetivos

    • Evaluar las principales amenazas que comprometen


    la seguridad de un sistema
    • Revisar la arquitectura de un sistema para identificar
    problemas en etapas tempranas
    • Integrar a cada uno de los actores en el desarrollo
    del sistema en la identificación de posibles amenazas
    • Priorizar amenazas
    • Documentar de forma clara y simple la identificación
    de posibles amenazas para cumplir con los objetivos
    de seguridad

    Agregue un pie de página TREY 8


    research
    STRIDE
    Características

    Este modelo agrupa en seis categorías, las amenazas que más afectan negativamente las empresas. Cada una de estos grupos afectan
    directamente una propiedad de ciberseguridad.

    UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 9


    research
    STRIDE
    Ejemplos

    Tipos de amenazas Ejemplos


     Falsificar mensajes de correo electrónico
    Suplantación  Reproducir paquetes de autenticación
     Alterar datos durante la transmisión
    AlTeración  Cambiar datos en archivos
     Eliminar un archivo esencial y denegar este hecho
    Repudio  Adquirir un producto y negar posteriormente que se
    ha adquirido

    Agregue un pie de página TREY 10


    research
    STRIDE
    Ejemplos

    Tipos de amenazas Ejemplos

    DIvulgación  Exponer la información en mensajes de error


    de información  Exponer el código de los sitios Web

    Denegación  Inundar una red con paquetes de sincronización


    de servicio  Inundar una red con paquetes ICMP falsificados

     Explotar la saturación de un búfer para obtener


    Elevación privilegios en el sistema
    de privilegios  Obtener privilegios de administrador de forma ilegítima

    Agregue un pie de página TREY 11


    research
    STRIDE
    Metodología

    Descomponer
    aplicación

    Determinar
    riesgos

    Clasificar las
    amenazas

    Mitigación

    Agregue un pie de página TREY 12


    research
    STRIDE
    Utilización : Entendiendo los componentes del sistema

    1. Cliente realiza solicitud al servidor


    2. El servidor gestiona la solicitud y obtiene la información de la base de datos
    3. La base de datos responde y envía los datos al servidor de aplicación
    4. El servidor responde al cliente

    Base
    Cliente Servidor dedatos

    Agregue un pie de página TREY 13


    research
    STRIDE
    Utilización: Activos a proteger

    1. Información de clientes en la base datos


    2. Solicitudes y respuetas entre cliente-servidor y servidor-base datos
    3. Recursos del servidor

    Base
    Cliente Servidor dedatos

    Agregue un pie de página TREY 14


    research
    STRIDE
    Utilización: Identificar usuarios y sus privilegios

    Roles Privilegios
    Usuario regular Consulta información de la base de datos
    Administrar de aplicación Consulta y modifica información de la base
    de datos
    Administrador de sistema Modifica recuros del servidor
    Realiza respaldos de la base de datos

    Agregue un pie de página TREY 15


    research
    STRIDE
    Utilización: Cual es la superficie de ataque

    *Determinar los puntos en los que los datos pueden ser ingresados o extraídos por un usuario no autorizado
    • Clientes pueden acceder desde redes externas al servidor de aplicación
    • El diseño inicial para el servidor admite acceso mediante interfaz grafica y API por medio de HTTP

    Agregue un pie de página TREY 16


    research
    DREAD
    Que es?
    Es una forma de evaluar y calificar riesgos desarrollada por Microsoft, a partir de las amenazas descubiertas en el modelo STRIDE. Cuenta con cinco
    criterios de evaluación que permiten otorgar una calificación a cada amenaza

    Microsoft SDL

    Reproducibility( Re Explotability
    Damage ( Daño)
    producibilidad) (Aprovechamiento)

    Usuarios afectados Discoverability


    (Affected users) (Descubrimiento)

    UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 17


    research
    DREAD
    Como aplicarlo?
    1. Asignar calificación a cada categoria 2. Aplicar la siguiente formula
    Alto (10) Medio (5) Bajo (0)

    Damage+Reproducibility+Explotability
    +Affected users+Discoverability

    Agregue un pie de página TREY 18


    research
    DREAD
    Modelado de Amenazas

    UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 19


    research
    Proceso de Modelamiento de Amenazas (Microsoft)
    STRIDE/DREAD

    Entradas Proceso Salidas


    1. IDENTIFICAR
    LOS ACTIVOS STRIDE DREAD
    2. DEFINIR LA 4. IDENTIFICAR Y 6. IDENTEFICAR EL
    5. CALIFICAR
    ARQUITECTURA DOCUMENTAR NIVEL DE RIESGO Y
    LAS AMENAZAS
    DEL SISTEMA LAS AMENAZAS CONTROLARLO

    3. SEPARAR LOS • Evitarlo eliminando la causa


    • Mitigar Impacto y/o Probabilidad
    COMPONENTES DE con Controles
    LA APLICACIÓN • Transferir o Compartir con Seguros
    • Aceptarlo y Monitorearlo

    UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 20


    research
    Cómo se relacionan las Amenazas con el Riesgo ? • Probabilidad de que se materialice una amenaza
    • Causando pérdidas o daños (CID)
    DREAD
    RIESGO = I x P
    • Acción que aprovecha una vulnerabilidad
    • Atenta contra la seguridad de un sistema de información

    Identificación de las Amenazas


    “Modelo STRIDE”

    Amenaza Sistema
    Calificación de las Amenazas
    “Modelo DREAD”

    Damage Reproducibility Explotability Affected Users Discoverability

    I = IMPACTO P = PROBABILIDAD P = PROBABILIDAD I = IMPACTO P = PROBABILIDAD

    D R E A D Vulnerabilidad

    • Debilidad o Fallo en un sistema de información


    • Pone en Riesgo la seguridad de la información (CID)

    UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 21


    research
    Calificación de Amenazas por Categoría CALIFICACIÓN R = ( D+R+E+A+D) / 5

    DREAD

    D R E A D
    Daño: Daño o Impacto Potencial resultado Explotabilidad: Complejidad y Descubrimiento: Facilidad para
    de la Explotación de la Vulnerabilidad Costo de Explotar la Vulnerabil. Descubrir la Vulnerabilidad (Exposición)

    0 – Fuga de información no confidencial 0 – Requiere Especialistas 0 – Improbable


    5 - Fuga de información sensitiva 5 - Puede ser Automatizado 5 - Accesible a Pocos Usuarios
    10 – Nivel de Administrador 10 – Programador Novato 10 – Público

    I = IMPACTO P = PROBABILIDAD P = PROBABILIDAD I = IMPACTO P = PROBABILIDAD

    Damage Reproducibility Explotability Affected Users Discoverability

    Reproducibilidad: Facilidad de Usuarios Afectados: Cantidad e


    Reproducción del Ataque Importancia de los Usuarios y
    o Incidente Recursos Afectados

    0 – Muy difícil de Reproducir 0 – Pocos Usuarios


    5 - Tres Pasos 5 - Algunos Usuarios (Depto)
    10 – Navegador Web 10 – Todos los Usuarios (Oficina)

    UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 22


    research
    Ejemplo de Calificación de Amenazas por Categoría (Excel)
    STRIDE/DREAD
    Nivel de
    Riesgo

    UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 23


    research
    Ejemplo de Calificación de Amenazas por Categoría (Excel)
    STRIDE/DREAD

    R1 R4
    Alta
    Probabilidad
    R5

    R3
    Rx R2

    UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 24


    research
    MicrosoftTMT
    Modelado de Amenazas

    UTP – Maestría en Seguridad Informática – Aplicaciones Seguras TREY 25


    research

    También podría gustarte