¿Es útil el modelado de amenazas fuera del desarrollo de aplicaciones? ¿Es una herramienta útil para hacer evaluaciones operativas de sistemas de información ya existentes?
Estoy confundido sobre cómo las metodologías de modelado de amenazas como STRIDE se correlacionan con técnicas de evaluación de riesgos como las definidas en NIST 800-30.
Casi todo, si he leído sobre el modelado de amenazas, se encuentra en el contexto del desarrollo de software.
¡Gracias!
La ingeniería social es algo que la seguridad operacional debe abordar. El modelo aún se aplica, por ejemplo, las identidades de suplantación de identidad se pueden realizar mediante la búsqueda de los protocolos de una empresa, y luego suplantando a un compañero de trabajo olvidado, nuevo o sobrecargado de trabajo, simplemente "tratando de hacer su trabajo", por teléfono, etc.
Acabo de ver esto ahora, pero recientemente di una conferencia hablada sobre esto: Modelado de amenazas de Black Box (y enlace allí a slidedeck).
El modelado de amenazas no es un concepto nuevo (aunque no está tan bien adoptado como debería serlo ...). Sin embargo, tradicionalmente esto ha sido utilizado principalmente por diseñadores e ingenieros de seguridad, y algunas veces por desarrolladores. Pero también es útil en fases posteriores. El enfoque que presentaré permitirá a los pentesters, hackers éticos y cazarrecompensas a mejorar su proceso, trabajar de manera más eficiente y obtener mejores resultados, más significativos.
...
Sin embargo, este excelente enfoque rara vez se utiliza en actividades posteriores, a menudo se ignora por completo en la fase de prueba. ¡Eso es una verdadera vergüenza! Las pruebas de penetración generalmente se realizan bajo restricciones estrictas (especialmente para pruebas externas de terceros) o con una ventana de oportunidad muy limitada. Estas técnicas son increíblemente eficientes para resaltar los problemas de seguridad de muchos tipos diferentes y para garantizar la cobertura de prueba para un conjunto seleccionado de riesgos comerciales.
Esta charla le mostrará cómo incorporar metodologías de modelado de amenazas en sus actividades de pentesting. Discutiremos cómo aprovechar un modelo de amenaza en la fase de diseño (si existe) o, alternativamente, cómo implementar un modelo de amenaza ad-hoc como parte de una prueba de penetración más efectiva.
Y también:
Si bien hay un poco más para hacer que el Black Box Threat Modeling (BBTM) funcione, la idea subyacente está tomada de mi metodología TM completa, Value-Diven Threat Modeling. El mantra que seguí repitiendo:
- Encuentra el valor.
- ¡Sigue el dinero!
- O, ¿cómo mueren las personas?
El punto es que el contexto de negocios puede ser más importante que los detalles técnicos, y centrarse en eso hace que los resultados sean mucho más impactantes.
En pocas palabras, a veces hay vulnerabilidades técnicas que en realidad no debemos molestarnos en invertir demasiado tiempo para solucionar, ya que en realidad no tienen un riesgo comercial o un valor comercial asociado. Y BBTM ayuda a enfocar la comunicación en aquellos que lo hacen.
Lea otras preguntas en las etiquetas risk-analysis threat-modeling