Herramientas de modelado de amenazas y amenazas alternativas

Navega tus respuestas
2

Al mirar las herramientas de modelado de amenazas que están disponibles (el SDL de Microsoft para Modelado de amenazas es probablemente el mejor ejemplo), parecen considerar solo amenazas a bajo nivel, y tengo la sensación de que están dirigidas principalmente a desarrolladores.

En los sistemas, las amenazas no son solo de atacantes, las amenazas en la nube pueden incluir amenazas basadas en la ubicación o en el servicio (por ejemplo, las leyes pueden requerir que ciertos tipos de datos se mantengan dentro de ciertas jurisdicciones, un problema de seguridad alternativo pero un problema, no obstante). Este tipo de amenaza tampoco es un "nivel bajo", como los identificados en las herramientas mencionadas, sino un nivel más medio. Este tipo de amenazas no parecen estar representadas en ninguna herramienta que pueda encontrar, ni tampoco esas amenazas que provienen de fuentes distintas a los atacantes. Mis preguntas son las siguientes:

  1. ¿Se considera que el 'modelado de amenazas' es un proceso que contempla las amenazas solo desde un nivel bajo y está dirigido a los desarrolladores? Porque este es el entendimiento que obtengo al ver cómo funcionan estas herramientas. ¿O es solo porque estas herramientas son utilizadas principalmente por los desarrolladores, han llegado a priorizar los puntos de vista de los desarrolladores y personas afines?

  2. ¿Me faltan herramientas que proporcionen información sobre otros tipos de amenazas? ¿Quizás herramientas que consideren una visión de amenazas y vulnerabilidades de nivel superior? ¿O aquellos que consideran amenazas de no atacantes así como de atacantes? Sé que los procesos manuales como STRIDE y DREAD pueden permitir que las personas identifiquen amenazas en el nivel que deseen, pero estoy más interesado en conocer las herramientas que podrían hacer esto.

pregunta BBBBeha 17.05.2015 - 11:38
fuente

2 respuestas

4

Tienes razón en que las herramientas de Microsoft están dirigidas a los desarrolladores. Cuando desarrollamos la herramienta v3 SDL, quisimos centrarnos en lo que el desarrollador probablemente sabría. La jurisdicción de gestión es un requisito que va a venir de otro lugar. Entonces, para su pregunta 1, la herramienta actual de modelado de amenazas de Microsoft se enfoca en los desarrolladores y prioriza sus necesidades, y como comento en mi libro, el modelado de amenazas es algo que todos pueden hacer, y todos deberían hacerlo. Desafortunadamente, los modelos de ataques fuera de los muy técnicos no están tan bien desarrollados.

[Aparentemente, no puedo comentar, así que agregaré un poco más aquí a su pregunta 2. Es muy útil definir el alcance de "otro tipo de amenazas". Una cosa que puede hundir un proceso de modelado de amenazas es una sucesión de amenazas sobre las cuales usted no puede hacer nada. Muchas de las amenazas que encontrará con STRIDE pueden ser abordadas por los desarrolladores. Entonces, ¿qué alcance estás buscando en el # 2?]

    
respondido por el Adam Shostack 17.05.2015 - 18:19
fuente
1

Microsoft tenía una terminología incorrecta al usar la palabra "amenaza" en "modelado de amenazas". Cigital reemplazó esta terminología incorrecta con "Análisis de riesgo arquitectónico", que es una descripción mucho mejor. El mejor modelo para trabajar con el análisis de riesgos es el Análisis factorial del riesgo de información (FAIR). Solo hay que aplicar los conceptos al desarrollo de aplicaciones o la construcción de software.

Para las herramientas en esta área, asegúrate de revisar

respondido por el atdre 17.05.2015 - 13:44
fuente

Lea otras preguntas en las etiquetas

¿Qué puedo hacer como usuario para minimizar el riesgo de la banca en línea? ¿Cómo se hacen las listas de "peores contraseñas"?