Modelado de amenazas
Enviado por Maria121kzjxj • 3 de Junio de 2023 • Tarea • 1.455 Palabras (6 Páginas) • 77 Visitas
Asignatura | Datos del alumno | Fecha |
Seguridad en el Software | Apellidos: Alvarez, Gerónimo | 28/05/2023 |
Nombre: Yamileth |
Modelado de Amenazas
Es una técnica eficaz que tiene como fin proteger los sistemas, aplicaciones, redes y los servicios a través de la identificación de amenazas y estrategias de reducción de riesgos. se estima que las vulnerabilidades han aumentado en un 9% por ciento en los últimos años esto debido a que las organizaciones lanzan sus aplicaciones mas rápidas y sin antes preverse que su software sea seguro en conjunto con las comprobaciones de seguridad por eso lo importante de implementar un buen desarrollo de software seguro de acuerdo con eso la comprobación de pruebas de seguridad.
El modelado de amenazas usa un diagrama de flujo de datos en el que se muestra gráficamente el funcionamiento del sistema.
El modelo de amenas este compuesto por:
- Conformación de un grupo de análisis de riesgo.
- Descomposición de la aplicación e identificación de componentes clave
- Definición de amenazas de cada componente de aplicación
- Asignar un valor a cada amenaza
- Definición de respuesta de cada amenaza
- Identificación de técnicas y tecnologías para mitigar riesgos identificados.
Estudios de metodologías
CORAS consultative objective Risk Analysis System . Es un proyecto creado por la unión europea con el objetivo de proporcionar un framework orientado a los sistemas donde la seguridad es crítica así facilitando el descubrimientos de vulnerabilidades de seguridad , inconsistencias y redundancias.
Coras proporciona un método basado en modelo de vulnerabilidades y se basa en el uso de tres componentes:
- Un lenguaje de modelado de riesgo basado en el UML.
- La metodología Coras, es una descripción paso a paso del proceso de análisis con directriz para construir los diagramas Coras.
- Una herramienta para documentar, mantener y crear los informes de análisis.
La metodología de Coras hace uso de diagramas que se clasifican 5 tipos diferentes.
- Diagrama superficial de activos:
Muestra una visión general de los activos y como el daño sobre un activo puede afectar al resto de estos.
- Diagrama de Amenazas:
Muestra una visión completa de la secuencia de eventos iniciados por las amenazas y las consecuencias que tienen estas sobre los activos.
- Diagrama superficial de riesgo
Es un resumen de diagrama, mostrando los riesgos. tienen 5 componentes: amenazas deliberadas, accidentales y no humanas, riesgos y activos a cada riesgo se le asigna un valor.
- Diagramas de tratamiento
Ofrece una visión completa de las contramedidas propuestas. Se basa en el diagrama de amenazas, sustituyendo las consecuencias del impacto sobre los activos con loes riesgos procedentes del diagrama superficial de riesgo y sumando los escenarios de contramedida propuestos.
- Diagrama superficial de tratamiento
Es un resumen de las contramedidas, añadiendo los distintos escenarios posibles y mostrando las relaciones entre los distintos elementos propuestos para tratar el riesgo.
PTA Tecnologies Calculative Threat Modeling Methodology
Esta metodología plantea que antes de comenzar el proceso de modelado , el analista deberá familiarizarse con la aplicación resultando así fácil de recopilar lo eficientemente de información para documentar con el fin de hacer más fácil la decisión de el tipo de metodología se aplica en este caso.
- Descripción funcional del sistema donde se incluya casos de usos típicos.
- Diagrama de arquitectura del sistema y documentación de los distintos módulos.
- Un diccionario de términos , donde se explican los distintos vocablos utilizados en los restantes documentos .
TRIKE Metodología de Evaluación de amenazas
Conocido por sus siglas en inglés como “The Risk Management Framework for Information Systems and Organizations. Proporciona una estructura sistemática para identificar y evaluar amenazas y vulnerabilidades.
Trike esta enfocado en un modelo para evaluar amenazas que representan los componentes del sistema los activos de información y las relaciones entre ellos. Estos modelos pueden incluir diagramas de flujo, diagramas de red, diagramas de entidad-relación u otros tipos de representaciones visuales.
Trike no especifica herramientas específicas, ya que se centra más en la metodología y el proceso. Sin embargo, existen varias herramientas y aplicaciones disponibles en el mercado que pueden ser utilizadas en conjunto con Trike para facilitar la evaluación de amenazas. Algunas de estas herramientas incluyen software de modelado, software de análisis de riesgos y herramientas de gestión de proyectos.
Orientación de la metodología: La metodología Trike sigue una serie de pasos bien definidos para evaluar las amenazas. Estos pasos generalmente incluyen:
- Identificación de activos
- Creación de modelos
- Identificación de amenazas
- Evaluación de vulnerabilidades
- Implementación y seguimiento .
Es relevante tener en cuenta que Trike es una metodología flexible y puede adaptarse a las necesidades y características específicas de cada organización o sistema.
TAM (Microsoft Threat Analysis and Modeling)
Es un enfoque desarrollado por Microsoft para identificar y mitigar las amenazas en el diseño.
La metodología TAM sigue un proceso estructurado y sistemático para identificar y analizar las amenazas en el diseño y desarrollo de software, es orientado a riesgos se centra en identificar y mitigar los riesgos de seguridad que pueden afectar el software.
...