Modelado de amenazas de vigilancia aplicado a categorías sociales

Navega tus respuestas
2

Estoy investigando modelos de amenazas para usuarios para una película documental dedicada a la vigilancia. La idea es identificar el modelo de amenaza (activo a proteger, atacante, capacidades del atacante, amenaza, riesgo de ataque) de diferentes categorías de personas para ayudar a crear una mejor comprensión de las tácticas de vigilancia y contravigilancia.

Por ejemplo:

  1. Un ciudadano de los EE. UU. puede querer proteger algunos activos (es decir, información confidencial) de los rastreadores para evitar una calificación crediticia / credenciales bancarias de un pirata informático.

  2. Un periodista en Alemania que esté trabajando en un escándalo de intercambio de información privilegiada tendrá que proteger su fuente de su empleador para divulgar su historia sin un juicio.

  3. Un activista kurdo que vive en Ankara necesita comunicarse con sus compañeros para publicar un fanzine prohibido. Su grupo es examinado por las autoridades turcas. (...)

  4. Otras categorías podrían ser: investigador de derechos humanos, adolescente siendo acosado, LGBT ... También trato de identificar el modelo de amenaza de las personas que estarían en menor riesgo y con las que las personas "normales / aleatorias" podrían relacionarse fácilmente con: un abogado, un empresario con una tecnología innovadora, un médico, un profesor ... .

No encontré mucho sobre este enfoque en la red, una parte de la guía de autodefensa de vigilancia del FEP , esta interesante < a href="https://medium.com/@gusandrews/user-personas-for-privacy-and-security-a8b35ae5a63b"> article , una pizarra y una historia por cable.

¿Qué piensas sobre este enfoque? ¿Le parece relevante / reducido para aplicar un modelo de amenaza a las categorías sociales, teniendo en cuenta el entorno / régimen en el que viven?

Estoy buscando material / lecturas relacionadas con el problema. Perdóneme si hice mal uso de algunos conceptos, aún nuevos en el tema.

    
pregunta Ojiro 01.08.2017 - 12:45
fuente

2 respuestas

3

El problema con los modelos de amenazas es que requieren un conocimiento profundo y técnico del tema y las capacidades de las amenazas. Tus 4 escenarios requerirían modelos de amenazas muy diferentes, y no son algo que puedas cubrir en un documental.

Por ejemplo, cada lugar que toca la información tiene su propio modelo de amenaza. Los datos en su computadora, los datos en tránsito, los datos en reposo en el destino y los metadatos creados en cada punto.

En lugar de profundizar en los modelos de amenazas en cada punto, se podría aplicar un modelo de riesgo (probabilidad, impacto) en cada punto y centrarse en abordar los riesgos más altos. Si cada punto de amenaza es un alto riesgo (incluso si almacena datos en su computadora), entonces tiene otros problemas. Si hay un punto que tiene un mayor riesgo (datos en tránsito), entonces puede mitigar ese problema.

Por lo tanto, mi consejo es exponer los riesgos en cada punto a lo largo de la ruta de los datos, y aplicar las mitigaciones de riesgo típicas en los puntos donde hay un mayor riesgo.

    
respondido por el schroeder 01.08.2017 - 13:05
fuente
0

Gracias Schroeder,

He estado estudiando una evaluación de riesgos más profunda. Encontré gente hablando de eso como Sean Gallagher en Arstechnica y Adam Shoshack Aquí hay algunas buenas lecturas para las personas que desean ver más a fondo.

De todos modos, la evaluación de riesgos también forma parte del modelado de amenazas, si lo hago bien. Como la probabilidad de la amenaza debe ser evaluada y la mitigación se concentra en el riesgo más alto.

    
respondido por el Ojiro 07.08.2017 - 11:17
fuente

Lea otras preguntas en las etiquetas

¿Tengo un código de confirmación de PayPal cuando ni siquiera tengo una cuenta? [cerrado] ¿Cómo puedo recopilar las contraseñas de mis clientes?