Metodologías de modelado de amenazas
Enviado por Luis Terán Fernandez • 23 de Junio de 2023 • Trabajo • 1.041 Palabras (5 Páginas) • 132 Visitas
Asignatura | Datos del alumno | Fecha |
Seguridad en el Software | Apellidos: Teran Fernández | 29/05/2023 |
Nombre: José luis |
Actividad: Metodologías de modelado de amenazas
Objetivos de la actividad
Una amenaza para cualquier sistema es cualquier actor, agente, circunstancia o evento que tiene el potencial de causarle daño, o de hacerlo a sus datos y recursos. Con la presente actividad se pretende conseguir los siguientes objetivos:
- Estudiar y analizar las diferentes metodologías de amenazas.
- Comparar las diferentes metodologías de amenazas.
- Realizar una propuesta de una nueva metodología de amenazas con base en el análisis realizado de las metodologías existentes.
Descripción de la actividad y pautas de elaboración
En esta actividad se propone seguir profundizando en el modelado de amenazas mediante la elaboración de un trabajo que contenga al menos los siguientes apartados:
Introducción al modelado de amenazas
El modelado de amenazas es un proceso de identificación y priorización de posibles amenazas en un sistema. En esta investigación se analizarán e identificar todos los tipos de posibles amenazas.
Estudiaremos todas las metodologías de modelado de amenazas existentes haremos una comparación de las misma y propondremos un nuevo tipo de metodología
Estudio de metodologías de modelado de amenazas
CORAS (Consultative Objective Risk Analysis System)
Es un método para realizar análisis de riesgos de seguridad, que proporciona un lenguaje personalizado para el modelado de amenazas y riesgos, y brinda directrices que explican cómo se debe usar el lenguaje para capturar y modelar información relevante durante las distintas etapas del analisis.
CIGITAL's architectural risk analysis process.
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability
La evaluación de amenazas, activos y vulnerabilidades operativamente críticas (OCTAVE) es un marco para identificar y gestionar los riesgos de seguridad de la información. Define un método de evaluación integral que permite a una organización identificar los activos de información que son importantes para la misión de la organización, las amenazas a esos activos y las vulnerabilidades que pueden exponer esos activos a las amenazas. Al reunir los activos de información, las amenazas y las vulnerabilidades, la organización puede comenzar a comprender qué información está en riesgo. Con este entendimiento, la organización puede diseñare implementar una estrategia de protección para reducir la exposición general al riesgo de sus activos de información
PTA Technologies Calculative Threat Modeling Methodology (CTMM)
Es una Metodologia que permite a analistas y asesores de seguridad a evaluar los riesgos operativos y de seguridad en sus sistemas para crear políticas. Dentro de su proceso de modelado práctico de análisis de amenazas permite identificar las vulnerabilidades del sistema, mapear los activos del sistema, evaluar el riesgo de las amenazas y definir un plan efectivo de mitigación de riesgos para una arquitectura, funcionalidad y configuración específicas del sistema
Trike. Metodología de evaluación de amenazas
Se trata de una estructura y herramienta de código abierto que lo acompaña en la modelización de amenazas y la evaluación de riesgos. Opera de manera defensiva, en lugar de tratar de imitar el proceso de pensamiento de un atacante
TAM (Microsoft Threat Analysis and Modeling)
La herramienta de modelado de amenazas es un elemento central del ciclo de vida de desarrollo de seguridad (SDL) de Microsoft. Permite que los arquitectos de software identifiquen y mitiguen posibles problemas de seguridad en forma temprana, cuando son relativamente fáciles y rentables de resolver. Como resultado, reduce en gran medida el costo total de desarrollo. Además, diseñamos la herramienta pensando en personas que no son expertos en seguridad, lo que facilita el modelado de amenazas para todos los desarrolladores al proporcionar una guía clara sobre la creación y el análisis de modelos de amenazas.
PASTA (Process for Attack Simulation and Threat Analysis)
El modelado de amenazas PASTA es un método específico de modelado de amenazas. Al igual que con todos los métodos de modelado de amenazas, el modelado de amenazas PASTA le permitirá identificar amenazas potenciales en su objeto de alcance. El modelado de amenazas PASTA se puede realizar en aplicaciones (móviles, web, Internet de las cosas, etc.) y, de manera más general, en sistemas de TI.
Comparación de las metodologías de modelado de amenazas
...