Desarrollo seguro mediante el Modelado de Amenazas Lite
Un proceso llamado Modelado de Amenazas involucra a las partes interesadas en el desarrollo seguro, lo que garantiza que la seguridad esté integrada y no reforzada. ¿Qué es LTM y en qué se diferencia del modelo de amenazas tradicional?
¿Qué es el modelado de amenazas?
El primer lugar para que las organizaciones comiencen es familiarizarse con lo que NIST entiende por modelado de amenazas. El Manifiesto de Modelado de Amenazas, un documento de consenso de 15 expertos, lo define como "analizar las representaciones de un sistema para resaltar las preocupaciones sobre la seguridad y la privacidad".
En términos simples, el modelado de amenazas permite a las organizaciones visualizar e identificar amenazas potenciales en el software incluso antes de que se haya escrito una línea de código. Esto permite que los desarrolladores y los equipos de seguridad eviten errores de diseño e informa las decisiones de diseño, desarrollo, pruebas y operaciones.
Un buen modelado de amenazas siempre se enfoca en responder cuatro preguntas:
- ¿En que estamos trabajando?
- ¿Qué puede ir mal?
- ¿Qué vamos a hacer al respecto?
- ¿Hicimos un trabajo suficientemente bueno?
Modelado de amenazas como punto de partida
El beneficio inmediato y más importante de implementar el modelado de amenazas es identificar las amenazas que pueden aparecer a lo largo del proceso de diseño para que se puedan implementar las contramedidas adecuadas.
Presumiblemente, esta es la razón por la que encabeza la lista de recomendaciones del NIST: si el modelado de amenazas se lleva a cabo desde el principio, alimenta e informa todas las actividades de seguridad posteriores. El objetivo final del estándar mínimo recomendado es, después de todo, garantizar que el software utilizado sea sólido.
El enfoque de modelado de amenazas Lite
LTM es un enfoque simplificado para identificar, evaluar y mitigar posibles amenazas y vulnerabilidades de seguridad en un sistema o aplicación. Es una versión simplificada del modelo de amenazas tradicional, que generalmente implica un análisis más completo y detallado de los riesgos de seguridad.
Con LTM, no estamos atacando manualmente el sistema o la aplicación para ver si se rompe, como lo haríamos con las pruebas de penetración. Más bien, perforamos "agujeros teóricos" en la aplicación, descubriendo posibles vías de ataque y vulnerabilidades.
Aquí hay algunas preguntas para considerar hacer:
- ¿Quién querría atacar nuestros sistemas?
- ¿Qué componentes del sistema pueden ser atacados y cómo?
- ¿Qué es lo peor que podría pasar si alguien entra por la fuerza?
- ¿Qué impacto negativo tendría esto en nuestra empresa? ¿En nuestros clientes?
- ¿Cuándo se realizan los LTM?
Lo mejor es realizar un LTM cada vez que se lanza una nueva característica, se cambia un control de seguridad o se realiza cualquier cambio en la arquitectura o infraestructura del sistema existente.
Idealmente, los LTM se realizan después de la fase de diseño y antes de la implementación. Después de todo, es mucho, mucho más fácil corregir una vulnerabilidad antes de que se lance a producción. Para escalar los LTM en toda su organización, asegúrese de establecer procesos y estándares claros y consistentes. Esto puede implicar la definición de un conjunto común de categorías de amenazas, la identificación de fuentes comunes de amenazas y vulnerabilidades y el desarrollo de procedimientos estándar para evaluar y mitigar los riesgos.
Principios y Patrones de LTM
Según NIST, el mejor uso del modelado de amenazas es mejorar la seguridad y la privacidad de un sistema mediante un análisis temprano y frecuente.
- El modelado de amenazas debe alinearse con las prácticas de desarrollo de una organización y seguir los cambios de diseño en iteraciones que tienen como alcance partes manejables del sistema.
- Los resultados del modelado de amenazas son significativos cuando son valiosos para las partes interesadas.
- El diálogo es clave para establecer los entendimientos comunes que conducen al valor, mientras que los documentos registran esos entendimientos y permiten la medición.
Estos patrones benefician el modelado de amenazas:
- Acercamiento sistematico: consiga exhaustividad y reproducibilidad aplicando los conocimientos sobre seguridad y privacidad de forma estructurada.
- Creatividad informada: permita la creatividad al incluir tanto la artesanía como la ciencia.
- Puntos de vista variados: reúna un equipo diverso con expertos en la materia apropiados y colaboración multifuncional.
- Caja de herramientas es útil: apoye su enfoque con herramientas que le permitan aumentar su productividad, mejorar sus flujos de trabajo, habilitar la repetibilidad y brindar capacidad de medición.
- De la teoría a la práctica: utilice técnicas probadas con éxito en el campo alineadas con las necesidades locales, y que estén informadas por el pensamiento más reciente sobre los beneficios y límites de esas técnicas.
Estos antipatrones inhiben el modelado de amenazas:
- Modelador de amenazas "héroe": el modelado de amenazas no depende de la habilidad innata o mentalidad única de uno; todos pueden y deben hacerlo.
- Admiración por el problema: Vaya más allá de simplemente analizar el problema; se debe llegar a soluciones prácticas y pertinentes.
- Tendencia al sobreenfoque: no pierda de vista el panorama general, ya que las partes de un modelo pueden ser interdependientes. Evite exagerar la atención sobre los adversarios, los activos o las técnicas.
- Representación Perfecta: es mejor crear múltiples representaciones del modelado de amenazas, porque no hay una vista ideal única y las representaciones adicionales pueden iluminar diferentes problemas.
Cómo realizar LTM en su organización
Para comenzar a realizar LTM dentro de su propia organización, primero haga que sus equipos de seguridad internos lideren sus conversaciones de LTM. A medida que sus equipos de ingeniería se familiaricen con el proceso, podrán comenzar a realizar sus propios modelos de amenazas.
Para escalar los LTM en toda su organización, asegúrese de establecer procesos y estándares claros y consistentes. Esto puede implicar la definición de un conjunto común de categorías de amenazas, la identificación de fuentes comunes de amenazas y vulnerabilidades y el desarrollo de procedimientos estándar para evaluar y mitigar los riesgos.
Errores comunes de LTM a evitar
La gente de seguridad es excelente para modelar amenazas: a menudo esperan lo peor y son lo suficientemente imaginativos como para idear casos extremos. Pero estas cualidades también los llevan a caer en trampas LTM, como:
- Centrarse demasiado en los valores atípicos. Esto ocurre durante un ejercicio de LTM cuando el foco de la conversación se desvía de las amenazas más realistas a sus valores atípicos. Para resolver esto, asegúrese de comprender a fondo su ecosistema. Use la información de su gestión de eventos e información de seguridad (SIEM) y otros sistemas de monitoreo de seguridad. Si tiene, digamos, 10.000 ataques contra los puntos finales de la API, por ejemplo, sabe que en eso se están centrando sus adversarios. Esto es en lo que también debe centrarse su LTM.
- Ser demasiado técnico. A menudo, una vez que se ha descubierto una vulnerabilidad teórica, los técnicos pasan al "modo de resolución de problemas". Terminan "resolviendo" el problema y hablando de implementación técnica en lugar de hablar del impacto que tiene la vulnerabilidad en la organización. Si encuentra que esto está sucediendo durante sus ejercicios de LTM, intente retroceder la conversación: dígale al equipo que no va a hablar sobre la implementación todavía. Hable sobre el riesgo y el impacto primero.
- Asumiendo que las herramientas manejan los riesgos por sí solas. Con frecuencia, los desarrolladores esperan que sus herramientas encuentren todos los problemas. Después de todo, la realidad es que un modelo de amenaza no está destinado a encontrar una vulnerabilidad específica. Más bien, está destinado a analizar el riesgo general del sistema, a nivel de arquitectura. De hecho, el diseño inseguro fue uno de los 10 principales riesgos de seguridad de aplicaciones web más recientes de OWASP. Necesita modelos de amenazas a nivel de arquitectura porque los problemas de seguridad de la arquitectura son los más difíciles de solucionar.
- Pasar por alto las amenazas y vulnerabilidades potenciales. El modelado de amenazas no es un ejercicio de una sola vez. Es importante reevaluar regularmente las posibles amenazas y vulnerabilidades para mantenerse a la vanguardia de los vectores de ataque y los actores de amenazas en constante cambio.
- No revisar las estrategias de implementación de alto nivel. Una vez que se han identificado las amenazas y vulnerabilidades potenciales, es importante implementar contramedidas efectivas para mitigarlas o eliminarlas. Esto puede incluir la implementación de controles técnicos, como validación de entrada, control de acceso o cifrado, así como controles no técnicos, como capacitación de empleados o políticas administrativas.
Conclusión
LTM es un enfoque simplificado para identificar, evaluar y mitigar posibles amenazas y vulnerabilidades de seguridad. Es extremadamente amigable para los desarrolladores y hace que el código se mueva de forma segura mediante el modelado de amenazas al principio del Ciclo de Vida de Desarrollo de Software (SDLC). Mejor aún, un LTM puede ser realizado por los propios desarrolladores y arquitectos de software, en lugar de depender de los laboratorios para ejecutar el modelado de amenazas.
Al desarrollar e implementar LTM de manera consistente y efectiva, las organizaciones pueden identificar y abordar de manera rápida y efectiva los riesgos de seguridad más críticos, al tiempo que evitan las trampas y los errores comunes.
Fuente: DarkReading
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!