¿Cómo determinar el agente de amenaza para analizar el riesgo de una amenaza?

2

Al realizar una evaluación de riesgos de una amenaza, ¿cómo puedo encontrar el mejor agente de amenazas para la evaluación de riesgos?

Por ejemplo, el activo que tiene la vulnerabilidad relacionada con la amenaza puede estar en una red interna detrás de una DMZ.

En este caso, algunos de los posibles agentes de amenaza que se me ocurren para analizar el riesgo de esta amenaza son:

  1. hackers criminales (externos)
  2. Organizaciones delictivas (externas)
  3. Empleado interno
  4. Empleado operacional interno (Sysadmin / desarrollador)
  5. etc ...

Si solo puedo acceder a la vulnerabilidad de mi activo mediante una red local, debo asumir que los dos primeros agentes de amenazas han roto de alguna manera la seguridad de las redes internas para obtener acceso a la red local.

Pero para el empleado interno y el empleado operativo interno, no tengo que asumir que tienen que explotar otra (s) vulnerabilidad (s) para obtener acceso a la red local para obtener acceso a la vulnerabilidad de mi activo. No necesitan tener ningún requisito previo para realizar el ataque, como atacantes externos.

Por un lado, me parece que es mejor considerar el agente de amenaza que no necesita realizar ningún paso previo previo para evaluar el riesgo de esta amenaza.

Pero esta es la primera vez que intento realizar una evaluación de riesgos. Por lo tanto no estoy seguro de lo que es correcto. Por lo tanto, agradecería cualquier orientación en la dirección correcta.

    
pregunta Manjula 19.09.2016 - 12:43
fuente

2 respuestas

2

En primer lugar, debe tener en cuenta el objetivo comercial de la aplicación. Solo una vez que haya determinado el objetivo comercial, podrá definir sus agentes de amenaza. Discuta los motivos del agente de amenazas, es decir, ¿es probable que un estado o nación ataque su aplicación? ¿Es probable que un script script ataque tu aplicación? ¿Por qué y por qué?

Para un primer ejercicio de modelado de amenazas, te sugiero que comiences fácilmente con 1-2 posibles agentes de amenaza solo para comenzar. Sin embargo, para un modelo de amenaza completo, debe considerar cada agente de amenaza probable e iterar a través de la aplicación completa para cada agente de amenaza.

Solo una nota al lado de su lista de ejemplos, no se olvide de los ataques humanos no intencionales, solo Google y fácilmente podrá obtener una lista con posibles agentes de amenaza.

Personalmente, me gusta este video para modelar amenazas: enlace

    
respondido por el Anders Nordin 19.09.2016 - 13:02
fuente
1

Quieres evitar hacer esto. Es una fuente de errores, y puedes evitarlo.

Por ejemplo, si solo se puede acceder a su sistema desde la red local, y la solución es aplicar un parche del proveedor, entonces la primera parte probablemente no importa; quieres aplicar el parche porque es barato.

En segundo lugar, las probabilidades son excelentes de que los atacantes eviten su firewall, por ejemplo, enviando documentos con exploits en ellos. Si alguna vez has tenido un incidente de virus detrás del firewall, entonces has visto que es algo poroso. Las empresas se están alejando de confiar en un firewall a un modelo que normalmente se denomina "confianza cero".

He escrito algunas publicaciones de blog sobre por qué pensar en los agentes de amenazas suele ser una distracción: enlace , enlace

    
respondido por el Adam Shostack 19.09.2016 - 18:23
fuente

Lea otras preguntas en las etiquetas