Conexión entre “Ingeniería de requisitos de seguridad”, “Análisis de riesgos” y “Modelado de amenazas”

4

Estoy tratando de averiguar cómo encajan los conceptos anteriores. Como lo entendí, la Ingeniería de requisitos de seguridad (SRE), el Análisis de riesgos (RA) y el Threat Modeling (TM) son métodos que, en última instancia, permiten que un Sistema de información se acerque más a los objetivos de seguridad deseados (tríada CIA, Octava IAS o lo que sea). p>

Mi pregunta es, ¿son conceptos disjuntos que se pueden realizar de forma independiente uno del otro o hay algún tipo de jerarquía?

¿Me equivoco al decir que SRE es el procedimiento que abarca, que puede contener RA, que a su vez puede usar TM para determinar amenazas?

¿Alguien tiene buenas fuentes con respecto a los fundamentos de SRE y los conceptos que incluye?

    
pregunta daniel f. 16.05.2015 - 13:58
fuente

2 respuestas

2

Muchos términos y lenguaje confusos aquí. Para obtener el lenguaje de riesgo de información correcto, considere FAIR o Análisis factorial de riesgo de información

La terminología "Modelos de amenazas" fue reemplazada correctamente por Cigital con el término "Análisis de riesgo arquitectónico". Usar 'amenaza' aquí es especialmente incorrecto.

La evaluación de riesgos (por ejemplo, OCTAVE, OCTAVE Allegro) también es muy diferente del análisis de riesgos. Una evaluación de riesgo es, en el mejor de los casos, un cuestionario documentado y puntual. Un análisis de riesgo puede ser mucho más útil cuando las variables de entrada se seleccionan y formulan correctamente. Por "útil", quiero decir que reflejan la realidad más cerca de lo que un humano puede correlacionar y ajustarse a los patrones normalizados.

Sin invocar el libro, "Software Security Engineering: A Guide for Project Managers", puedo decirle que la ingeniería de requisitos de seguridad, como usted lo solicita, no es un problema claramente definido que resolver en el riesgo cibernético. A fines de la década de 1990, se abandonaron muchos proyectos de documentos pesados basados en Cascada u otras prescripciones del ciclo de vida en los círculos de Tecnología de la Información y Desarrollo de Aplicaciones. Hoy en día, nuestras prácticas y cadenas de valor están alineadas con Scrumban, la evolución más moderna de xp.

Si puede seguir el modelo FAIR, entonces comprenderá cómo la información encaja en su organización. Esto existe fuera de los procesos de su negocio: es un lenguaje estándar para comunicarse con la multitud de jugadores que podrían presentarse a la conversación sobre el riesgo cibernético. Las amenazas, como en TCom y TCaps, son una pieza importante del modelo FAIR, por lo que debe cuantificar las amenazas para cuantificar el riesgo. También debes entender el negocio. Si identifica una vulnerabilidad o un problema de conjunto de controles, entonces deseará obtener la causa raíz. La causa raíz nunca es un parche: siempre está de vuelta al proceso de negocios, generalmente la gestión de consecuencias o incluso la gestión de crisis.

Si desea ver cómo se pueden unir realmente estas piezas, le sugiero que revise FAIR, pero la integración es clave, y OpenSAMM hace que la integración sea más limpia que cualquier otra cosa que haya visto. Si necesita un mapa estratégico para pronosticar sus resultados futuros (o recopilar las variables de entrada correctas en primer lugar), entonces OWASP OpenSAMM puede adaptarse a cualquier necesidad de riesgo cibernético. Verá el lenguaje correcto alrededor de "ingeniería de requisitos de seguridad", "evaluación de amenazas" (su análisis de riesgo), "revisión de diseño" (su modelo de amenaza), y mucho más definido y explicado explícitamente dentro.

    
respondido por el atdre 17.05.2015 - 05:34
fuente
0

Hay un nuevo concepto llamado " "que utiliza los tres en un ciclo en lugar de jerarquía.

Lo que esto significa es que la Inteligencia de amenazas particular de su entorno siempre se analiza y se envía a Incident Response. Las respuestas se basan en el conocimiento de la red interna y están facultadas para realizar cambios rápidos en las estructuras de la red. La ayuda de RA determina si las amenazas son específicas para sus sistemas, mientras que la "línea de base" es una combinación de Monitoreo de seguridad de red y cambios arquitectónicos sólidos y seguros y bases en la red.

Esto fue desarrollado por Robert Lee de SANS y Utica College.

SRE se incorpora a través del conocimiento de la red, lo cual es esencial para la defensa en el sentido de que ya debe conocer su red mientras que un atacante tiene que reunirse.

Para resumir y responder, se pueden hacer de forma independiente pero no deberían. Ningún equipo en INFOSEC en una organización debe ser aislado. No hay ninguna razón para que los equipos de Respuesta a incidentes no hablen con los administradores de Net y los equipos de Intel de amenazas.

enlace

    
respondido por el user67862 15.08.2015 - 14:37
fuente

Lea otras preguntas en las etiquetas