18 jun. 2014

Modelado de amenazas

Cuando se lleva a cabo un desarrollo de software grande es muy común que se utilice un modelado de amenazas, es más algunos ciclos de vida de desarrollo de software seguro los utilizan en sus fases. Por esto es un tema interesante el conocer como llevarlos a cabo y como pueden utilizarse en el mundo del desarrollo software.

Un modelado de amenazas es una herramienta que nos ayuda a mejorar el proceso de diseño de las aplicaciones, es decir, nos ayuda a conseguir que el desarrollo de una aplicación contenga propiedades, características y las directrices o principios de diseño de software seguro.

Es necesario que los empleados que participan en la fase de diseño e implementación del software desarrollen dos perspectivas: la de defensor y la de atacante.En la de defensor el equipo tiene un punto de vista de los elementos de seguridad generales, intentando desarrollar el código lo más seguro posible. Por otro lado, el punto de vista del atacante intenta comprender los posibles ataques que se pueden llevar a cabo contra el software producido. La perspectiva de atacante se puede estudiar mediante patrones de ataque y árboles de ataque.

En conclusión, y según comparte la propia Microsoft, un modelado de amenazas es un análisis que ayuda a determinar los riesgos de seguridad que pueden aparecer o acaecer en un producto, aplicación o entorno, así como la forma en la que se aparecen estos ataques. El objetivo es identificar cuáles son las amenazas y que tipo de mitigación requieren.

Características del modelado

El modelado de amenazas debe ser capaz de:
  • Identificar amenazas potenciales así como condiciones necesarias para llevarlas a cabo.
  • Facilitar identificación de condiciones o vulnerabilidades que afecten a la existencia de múltiples amenazas.
  • Proporcionar información relevante sobre cuáles serían las contramedidas más eficaces para mitigar un posible ataque.
  • Proporcionar información sobre cómo las medidas actuales previenen la consecución de ataques.
  • Transmitir a la dirección la importancia de los riesgos tecnológicos.
  • Establecer una estrategia sólida para evitar posibles brechas de seguridad.
Contenido completo en fuente original FluProject I, II y III

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!