Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Espinel Espinel Armas 13 febrero - 2019 –
Nombre: Stalin Fernando
Acc t i v i d a d e s A Trabajo: Metodologías de modelado de amenazas Para seguir profundizando en el modelado de amenazas se propone realizar este trabajo que contenga al menos el siguiente contenido: » Introducción al modelado de amenazas. » Estudio de metodologías existentes. » Descripción de una metodología en profundidad. » Ejercicio práctico de modelado de amenazas, utilizando una herramienta de modelado como Threat Analysis and Modeling Tool 2014, del siguiente caso que se describe a continuación (incluir los ficheros generados por la herramienta junto con el del trabajo en un fichero a subir en la plataforma). Caso práctico Con objetivo de afianzar los conocimientos adquiridos sobre el modelado de amenazas, se pide el definir, modelar y medir las posibles amenazas de una tienda de libros online, llamada Librería On-Line SA . Últimamente, ha sufrido un ciberataque que ha comprometido las credenciales de sus clientes. El incidente ha trascendido en los medios de comunicación, lo que ha producido una pérdida de cuota de mercado importante, frente a sus competidores. Con el objetivo de mantener su actual posición en el mercado de venta electrónica de libros y volver a recurar e incluso superar la que tenía, ha contratado a la empresa InfoSecurity para para llevar a cabo un trabajo de modelado de amenazas a sus sistemas TI e implementar las salvaguardas que se deriven del mismo en función del nivel de riesgo y la disponibilidad económica. Se le establece los siguientes requisitos de negocio y técnicos: » Habrá tres tipos de usuarios en la aplicación: clientes, administrador TI y agente de ventas
TEMA 3 – Actividades
© Universidad Internacional de La Rioja (UNIR)
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Espinel Espinel Armas 13 febrero - 2019 –
Nombre: Stalin Fernando
» Los clientes deben poder buscar productos y gestionar sus pedidos uutilizando tilizando la tienda web o llamando a la oficina oficina de ventas. » Para que un cliente pueda realizar un pedido el cliente debe, con anterioridad, registrase para crearle una cuenta. » El cliente puede pagar con una tarjeta de crédito, débito o mediante trasferencia bancaria. » » » »
Los clientes deben iniciar sesión antes para poder personalizar sus preferencias. Los clientes deben ser capaces de revisar y modificar sus pedidos realizados. Los agentes de ventas pueden conceder descuentos a los clientes. Los administradores pueden modificar y eliminar clientes y productos e información.
» La tienda web de la librería tendrá que ser accesible desde Intranet e Internet. » La tienda web deberá diseñarse con una arquitectura distribuida por razones de escalabilidad. » El cliente necesitará autenticarse en la tienda web con las credenciales de la cuenta de usuario, que a su vez se comprobarán contra la base de datos implementada en el backend de la compañía, a través de una interfaz de servicios web. » La información de la cuenta del usuario y la información del producto deberán mantenerse en una base de datos relacional. » El procesamiento de tarjetas de crédito será subcontratado a un procesador de terceros. » Las interacciones de los usuarios con la tienda web se almacenan en un servidor de log interno de la organización. » La base de datos deberá copiarse periódicamente en una ubicación de un proveedor » » » »
de servicios TI de terceros, para propósitos de recuperación ante desastres. El sitio web se diseñará lógicamente como una aplicación cliente/servidor distribuida conforme a un modelo de tres capas: c apas: presentación, proceso y datos. Los clientes accederán a la aplicación utilizando navegadores web de escritorio, y dispositivos móviles. El sitio web se desplegará en Internet protegido por una DMZ de dos capas con acceso tanto para usuarios internos como externos. Físicamente, la aplicación estará completamente alojada en un servidor de aplicaciones (Frontend) (Frontend) alojado en la DMZ, con acceso a un servidor de base de datos que estará en la red interna de la compañía (Backend).
TEMA 3 – Actividades
© Universidad Internacional de La Rioja (UNIR)
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Espinel Espinel Armas 13 febrero - 2019 –
Nombre: Stalin Fernando
» Las tecnología utilizada en el desarrollo de la aplicación web es ASP.Net utilizando C # y la base de datos del backend de la compañía está implementada en base al producto Microsoft SQL Server. Los objetivos de seguridad establecidos para la tienda web de Librería On-Line SA son los siguientes objetivos: OB-1. Recuperar la imagen de la compañía deteriorada tras el ciberincidente ocurrido. OB-2. Obtener la posición líder de mercado en venta de libros online . OB-3. Mantener confidencialidad, integridad y disponibilidad de la información
almacenada y trasmitida. existentes y potenciales. OB-4. Proporcionar un servicio seguro a los clientes existentes OB-5. Proporcionar un servicio ininterrumpido a los clientes existentes y potenciales. Se aplicarán técnicas de monitorización, equilibrio de carga, replicación, recuperación ante desastres y continuidad del negocio y copias de seguridad recuperables OB-6. Proporcionar una experiencia de usuario mejorada a los clientes existentes y potenciales. OB-7. Se establecerán procesos de autenticación, autorización y auditoría. El sistema estará basado en una típica arquitectura de una aplicación web de tres capas, donde el cliente es un navegador que accede a los servicios proporcionados por el sitio web de la librería, que contiene contiene una una base de datos de los clientes, clientes, cuentas y publicaciones publicaciones disponibles, alojada en un servidor de bases de datos y un servidor web que implementa toda la lógica de negocio. Tener en cuenta que nos encontramos en la fase análisis de requisitos del SDLC, identificando requisitos funcionales y de seguridad.
TEMA 3 – Actividades
© Universidad Internacional de La Rioja (UNIR)
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Espinel Espinel Armas 13 febrero - 2019 –
Nombre: Stalin Fernando
DESARROLLO Introducción al Modelado de Amenazas El análisis de modelo de amenazas (TMA) es un análisis que ayuda a determinar los riesgos de seguridad que pueden acaecer en un producto, aplicación, red o entorno, así como la forma en la que se aparecen los ataques. El objetivo consiste en determinar cuáles son las amenazas que requieren r equieren mitigación y los modos de hacerlo. Algunas de las ventajas de un TMA son:
Facilita la comprensión de la aplicación. Ayuda a detectar errores Puede ayudar a los miembros del nuevo equipo a entender la aplicación con mayor profundidad. Contiene información importante importante para otros equipos que trabajan trabaj an en su aplicación. Resulta de utilidad para los evaluadores. Los pasos de nivel alto para llevar a cabo un TMA son los siguientes: Paso 1. Recopilar información básica Paso 2. Crear y analizar el modelo de amenazas Paso 3. Analizar las amenazas Paso 4. Identificar las tecnologías y técnicas de mitigación Paso 5. Documentar el modelo de seguridad y las consideraciones de implementación Paso 6. Implementar y probar las mitigaciones Paso 7. Mantener el modelo de amenazas sincronizado con el diseño
Estudio de Metodologías Existentes 1. CORAS (Consultative Objective Risk Analysis System) and SECURIS (Research Council of Norway-funded Model-Driven Development and Analysis of Secure Secure Information Systems). Systems). Desarrollada por el grupo de investigación Noruego SINTEF (Stiftelsen for industriell og teknisk forskning) en el año 2001. El método CORAS proporciona:
Una metodología de análisis de riesgos basado en la elaboración de modelos, que consta de siete pasos, basados fundamentalmente en entrevistas con los expertos.
TEMA 3 – Actividades
© Universidad Internacional de La Rioja (UNIR)
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Espinel Espinel Armas 13 febrero - 2019 –
Nombre: Stalin Fernando
Un lenguaje gráfico basado en UML (Unified Modelling Language) para la definición de los modelos (activos, amenazas, riesgos y salvaguardas), y guías para su utilización a lo largo del proceso. El lenguaje se ha definido como un perfil UML. Un editor gráfico para soportar la elaboración de los modelos, basado en Microsoft Visio.
Una biblioteca de casos reutilizables.
Una herramienta de gestión de casos, que permite su gestión y reutilización.
Representación textual basada en XML (eXtensible Mark-up Language) del lenguaje gráfico. Un formato estándar de informe para facilitar la comunicación de distintas partes en el proceso de análisis de riesgos.
Se compone de 7 pasos esenciales para su aplicación, basada en la elaboración de modelos con un lenguaje UML y biblioteca de casos para ser reutilizados. Pasos: 1. Presentación: Se realiza una reunión inicial con las partes interesadas para definir los objetivos y alcance del análisis. 2. Análisis de alto nivel: un segundo encuentro para comprobar la información y realizar una identificación de vulnerabilidades y amenazas. 3. Aprobación: documentación documentación detallada para su aprobación. 4. Identificación de riesgos: Se realiza una identificación de los incidentes no deseados, amenazas y vulnerabilidades con el equipo de trabajo. 5. Estimación del riesgo: para cada uno de los posibles incidentes identificados en la etapa 4, se estiman consecuencias, probabilidades e impactos. 6. Evaluación del riesgo: Preparación de un borrador del análisis de los riesgos para ser revisado y corregido. 7. Tratamiento del riesgo: Se establecen los controles para mitigar los riesgos y se tiene en cuenta el costo versus su beneficio de implementación. implementación. 2. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation). SEI de la Universidad Carnegie Mellon Es un método de evaluación y de gestión de los riesgos para garantizar la seguridad del sistema informativo, desarrollado por el estándar internacional ISO270001.
TEMA 3 – Actividades
© Universidad Internacional de La Rioja (UNIR)
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Espinel Espinel Armas 13 febrero - 2019 –
Nombre: Stalin Fernando
El núcleo central de OCTAVE es un conjunto de criterios (principios, atributos y resultados) a partir de los cuales se pueden desarrollar diversas metodologías. Octave Tiene dos objetivos específicos que son:
Desmitificar la falsa creencia: La Seguridad Informática es un asunto meramente técnico.
Presentar los principios básicos y la estructura de las mejores prácticas internacionales que guían los asuntos no técnicos. Octave divide los activos en dos tipos que son:
Sistemas, (Hardware. Software y Datos)
Personas La metodología OCTAVE está compuesta en tres fases:
Visión de organización: Donde se definen los siguientes elementos: activos, vulnerabilidades de organización, amenazas, exigencias de seguridad y normas existentes. Visión tecnológica: se clasifican en dos componentes o elementos: componentes claves y vulnerabilidades técnicas. Planificación de las medidas y reducción de los riesgos: se clasifican en los siguientes elementos: evaluación de los riesgos, estrategia de protección, ponderación de los riesgos y plano de reducción de los riesgos.
3. PTA Technologies Calculative Threat Modeling Methodology (CTMM) El análisis de amenazas calculadoras de la PTA y la metodología de modelado de amenazas permiten una gestión eficaz de los riesgos operativos y de seguridad en sistemas complejos. Proporciona una manera fácil de mantener modelos dinámicos de amenazas capaces de reaccionar a los cambios en los activos y vulnerabilidades del sistema. Con la PTA, un analista puede mantener una creciente base de datos de amenazas, crear documentación para revisiones de seguridad y generar informes que muestren la importancia de varias amenazas y las prioridades de las contramedidas correspondientes. La PTA calcula las prioridades de las amenazas y las contramedidas y brinda a los tomadores de decisiones un plan actualizado de mitigación de riesgos que refleja los cambios en las realidades de las amenazas. Las prioridades de la contramedida son una función de los valores de los activos del sistema, el nivel de daño potencial, las
TEMA 3 – Actividades
© Universidad Internacional de La Rioja (UNIR)
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Espinel Espinel Armas 13 febrero - 2019 –
Nombre: Stalin Fernando
amenazas, las probabilidades y los grados de mitigación proporcionados por las contramedidas. El plan de mitigación recomendado está compuesto por las contramedidas que son las más rentables contra las amenazas identificadas. A continuación, continuación, presentamos presentamos una descripción abreviada de los pasos de modelado modelado de amenazas de PTA 1. Identificación de los activos. Mapeo de los valores financieros del activo del sistema y posibles pérdidas por daños. Los valores de los activos son so n la base para calcular las prioridades de amenazas, riesgos y contramedidas. 2. Identificación de las vulnerabilidades. La identificación de las vulnerabilidades potenciales del sistema requiere el conocimiento de la funcionalidad del sistema, la arquitectura, los procedimientos comerciales y operativos y los tipos de usuarios. Esta es una tarea iterativa continua junto con el paso de identificar amenazas (paso 4). 3. Definición de contramedidas. Definir las contramedidas relevantes a las vulnerabilidades del sistema. La eficacia en función de los costos de la contramedida se calcula de acuerdo con su costo de implementación estimado. 4. Construyendo escenarios de amenazas y planes de mitigación. Componga los posibles escenarios de amenazas e identifique los diversos elementos y parámetros de la amenaza de la siguiente manera:
Ingresando una breve descripción del escenario de amenaza.
Identificar los activos amenazados y el nivel de daño causado a cada activo.
Identificar las vulnerabilidades del sistema explotadas por la amenaza. La identificación de las vulnerabilidades del sistema rellena automáticamente una lista de contramedidas propuestas.
Configuración de la probabilidad de la amenaza. El nivel de riesgo r iesgo de la amenaza se calcula automáticamente en función del daño total que pueda causar la amenaza y la probabilidad de la amenaza.
Decidir sobre el plan de mitigación real seleccionando la combinación más efectiva de contramedidas.
4. Trike. Metodología de evaluación de amenazas. Trike es un marco conceptual unificado para la auditoría de seguridad desde una perspectiva de administración de riesgos a través de la generación de modelos de
TEMA 3 – Actividades
© Universidad Internacional de La Rioja (UNIR)
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Espinel Espinel Armas 13 febrero - 2019 –
Nombre: Stalin Fernando
amenazas de manera confiable y repetible. Un equipo de auditoría de seguridad puede usarlo para describir de manera completa y precisa las características de seguridad de un sistema desde su arquitectura de alto nivel hasta sus detalles de implementación de bajo nivel. Trike también permite la comunicación entre los miembros del equipo de seguridad y entre los equipos de seguridad y otras partes interesadas al proporcionar un marco conceptual consistente. Este documento describe la versión actual de la metodología (actualmente (actualmente en desarrollo pesado) con suficiente detalle para permitir su uso. Además, para detallar el modelo de amenaza en sí mismo (incluyendo la generación automática de amenazas y los gráficos de ataque), cubrimos los dos modelos utilizados en su generación, a saber, el modelo de requisitos y el modelo de implementación, junto con notas sobre análisis de riesgos y flujos de trabajo. La versión final de este documento incluirá un ejemplo completamente trabajado para todo el proceso. Trike se distingue de otras metodologías de modelado de amenazas por los altos niveles de automatización posibles dentro del sistema, la perspectiva defensiva del sistema y el grado de formalismo presente en la metodología. Porciones de esta metodología son actualmente experimentales; ya que no se han probado completamente contra sistemas reales, se debe tener cuidado al usarlos 5. MTAM (Microsoft Threat Analysis and Modeling). La herramienta de modelado de amenazas es un elemento central del ciclo de vida del desarrollo de la seguridad de Microsoft (SDL). Permite a los arquitectos de software identificar y mitigar posibles problemas de seguridad en una etapa temprana, cuando son relativamente fáciles y rentables de resolver. Como resultado, reduce enormemente el costo total del desarrollo. Además, Ad emás, diseñamos la herramienta teniendo en cuenta a expertos que no son de seguridad, facilitando el modelado de amenazas para todos los desarrolladores al proporcionar una guía clara sobre la creación y el análisis de modelos de amenazas. La herramienta permite a cualquiera:
Comunicar sobre el diseño de seguridad de sus sistemas. Analice esos diseños para detectar posibles problemas de seguridad utilizando una metodología probada. Sugerir y gestionar mitigaciones para problemas de seguridad.
TEMA 3 – Actividades
© Universidad Internacional de La Rioja (UNIR)
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Espinel Espinel Armas 13 febrero - 2019 –
Nombre: Stalin Fernando
Aquí hay algunas capacidades e innovaciones de herramientas, solo para nombrar algunas:
Automatización: Orientación Orientación y retroalimentación retroalimentación en el el dibujo de un modelo.
STRIDE por Elemento: Análisis guiado de amenazas y mitigaciones.
Informes: actividades de seguridad y pruebas en la fase de verificación.
Metodología única: permite a los usuarios visualizar y comprender mejor las amenazas. Diseñado para desarrolladores y centrado en el software: muchos enfoques se centran en activos o atacantes. Estamos centrados en el software. Desarrollamos actividades con las que todos los desarrolladores y arquitectos de software están familiarizados, como dibujar imágenes para su arquitectura de software. Enfocado en el análisis de diseño: el término "modelado de amenazas" puede referirse a una técnica de análisis de requisitos o de diseño. A veces, se refiere a una mezcla compleja de los dos. El enfoque de Microsoft SDL para el modelado de amenazas es una técnica de análisis de diseño enfocado
6. PASTA (Process for Attack Simulation and Threat Analysis). Es una metodología de modelado de amenazas centrada en el riesgo orientada a identificar patrones de amenaza viables contra una aplicación o entorno del sistema. Basado en la idea de abordar los posibles patrones de ataque en casos de uso de alto impacto, este enfoque se integra extremadamente bien en un proceso de gestión de riesgos. Como proceso, PASTA se ejecuta en un contexto específico que es el contexto de la seguridad de la aplicación y la gestión de riesgos, pero PASTA por definición no es una metodología de evaluación de riesgos, sino que es un pr oceso que puede ayudar a las organizaciones a gestionar los diversos riesgos técnicos y no técnicos causados. Por amenazas que buscan explotar vulnerabilidades en aplicaciones. El enfoque de este proceso es la simulación de ataques y el análisis de amenazas. Las etapas en las cuales se divide PASTA son: Etapa I - Definición de los objetivos para el análisis de riesgos Cumplir con los requisitos del negocio. Definir los requisitos de protección de datos. •
•
•
Identificar las normas y las obligaciones de cumplimiento normativo.
TEMA 3 – Actividades
© Universidad Internacional de La Rioja (UNIR)
Asignatura Seguridad en el Software
•
Datos del alumno
Fecha
Apellidos: Espinel Espinel Armas 13 febrero - 2019 –
Nombre: Stalin Fernando
Identificar las leyes de privacidad.
Determinar el perfil de riesgo inicial. Definir objetivos de gestión de riesgos. Etapa II - Definición del alcance técnico Capturar los males técnicos. Afirmar la integridad de la documentación técnica.
•
•
•
•
Etapa III - Descomposición y análisis de la aplicación Descomposición de la aplicación. Evaluación de controles de seguridad. Análisis funcional
•
•
•
Etapa IV - Análisis de amenazas Escenarios de amenaza de documentos Actualizar la biblioteca de amenazas Asignar probabilidad a cada amenaza •
•
•
Mapear las amenazas a los controles de seguridad. Etapa V - Análisis de debilidad y vulnerabilidad Consultar las vulnerabilidades existentes de los controles de seguridad. Mapear amenazas a vulnerabilidades de control de seguridad. Calcular la severidad del riesgo a las vulnerabilidades. •
•
•
•
Priorizar los controles de seguridad para pruebas de vulnerabilidad. Etapa VI - Modelado y Simulación de Ataques Modelar los escenarios ataques. Actualizar la biblioteca ataques •
•
•
•
•
Identificar la superficie ataques y enumerar los vectores ataques Evaluar la probabilidad y el impacto de cada escenario de ataques.
7. STRIDE El esquema STRIDE, Spoofing identity, Tampering with data, Repudiation, Information disclosure, Denial of service, Elevation of privilege, es un método de clasificación de amenazas. Según el método STRIDE el sistema se descompone en componentes y se analiza cada componente para comprobar que amenazas le pueden afectar. Cuando se detectan amenazas se proponen acciones para mitigarlas. El modelo utilizado está basado en patrones, con el que se puede identificar problemas
TEMA 3 – Actividades
© Universidad Internacional de La Rioja (UNIR)
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Espinel Espinel Armas 13 febrero - 2019 –
Nombre: Stalin Fernando
repetibles y organizarlos en categorías. Estas categorías facilitan la descomposición de la aplicación para un análisis mejor. La metodología recomienda la reutilización de información y comunicación entre las partes. A continuación, se detallan las partes de STRIDE. Comenzamos por la suplantación de identidad. Se debe prestar atención a las situaciones en las que se pueda llevar a cabo un robo de sesión, validaciones erróneas, sistemas de autenticación, etcétera. La segunda propiedad es la manipulación de datos, la cual se debe tener en cuenta que durante la implementación se mejora tiempos de respuesta contra seguridad en la manipulación. El filtrado y validación de datos, tanto enviados como recibidos, de una aplicación se deben tener muy en cuenta ya que son procesos propensos a reclutar amenazas. Un ejemplo serían los típicos ataques web, como XSS, con el que una no validación correcta por parte del servidor hace que la amenaza se convierta en realidad. La tercera propiedad es el repudio. Las aplicaciones deben intentar garantizar el no repudio de los usuarios, por lo que un sistema de seguimiento de acciones realizadas es útil para cumplir con co n esta premisa. Las aplicaciones y sus características presentan diferentes riesgos, por lo que las medidas de registro de actividades de los usuarios también serán diferentes. En función del contexto de la aplicación se necesitará un sistema de seguimiento más rígido que en otras. La cuarta propiedad es la revelación de información. Cualquier tipo de información que ayude a un atacante indicándole el funcionamiento de la aplicación es un riesgo de este tipo. La quinta propiedad es denegación de servicio. Algunas funcionalidades de las aplicaciones dificultan la optimización de los recursos, para estos casos se debe realizar un uso racional y evitar que la aplicación pueda caer en una denegación de servicio. Se deben estudiar estos casos para evitar estas amenazas. La sexta propiedad es la elevación de privilegios. La aplicación puede tener diferentes niveles de privilegios, en función de distintos roles o tipos de usuarios. Hay que vigilar todas las acciones que conlleven el uso de privilegios pr ivilegios y deben ser filtradas a través de una capa de autorización. La validación de privilegios debe ser robusta e impedir la escalada de privilegios.
TEMA 3 – Actividades
© Universidad Internacional de La Rioja (UNIR)
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Espinel Espinel Armas 13 febrero - 2019 –
Nombre: Stalin Fernando
Descripción de la Metodología Microsoft Threat Modeling Tool Threat Modeling Tool es un elemento básico del Ciclo de vida de desarrollo de seguridad (SDL) de Microsoft. Permite a los arquitectos de software identificar y mitigar los posibles problemas de seguridad en una fase temprana, cuando son relativamente sencillos y poco costosos de resolver. En consecuencia, reduce en gran medida el costo total de desarrollo. La herramienta permite:
Comunicar el diseño de seguridad de sus sistemas Analizar los diseños de posibles problemas de seguridad con una metodología probada
Sugerir y administrar mitigaciones para problemas de seguridad
Lo más importante es que Threat Modeling Tool sirve básicamente para elaborar el análisis de riesgos básico que todo desarrollo debe contemplar. Es esencial que un programador entienda que su aplicación puede ser atacada y cuáles son los puntos posibles de ataque. La herramienta SDL Threat Modeling Tool proporciona las siguientes características: Integración: Integración: Un sistema de seguimiento de los problemas detectados durante el análisis. Automatización: Automatización: orientación e información en la elaboración de un modelo de seguridad para la aplicación en desarrollo. Análisis STRIDE: por STRIDE: por elemento del sistema: guía de análisis de amenazas y mitigación de los vectores de ataque STRIDE. STRIDE es un acrónimo que resume 6 categorías de amenazas: Spoofing, Tampering, Repudiation, Information Disclosure, Denial Denial of Service, and Elevation of Privilege. Dado que cada categoría tiene un conjunto específico de medidas de seguridad que las puede evitar, una vez que se analizan las amenazas y las clasificamos, ya podemos saber que será necesario para mitigarlas.
TEMA 3 – Actividades
© Universidad Internacional de La Rioja (UNIR)
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Espinel Espinel Armas 13 febrero - 2019 –
Nombre: Stalin Fernando
Suplantación (Spoofing)
S
Un ataque de suplantación se produce cuando un atacante se hace pasar por alguien que no es. Manipulación (Tampering) (Tampering)
T R
La manipulación ataques se producen cuando el atacante modifica los datos en tránsito. Repudio (Repudiation) (Repudiation) Negar la autoría de una acción o evento en los sistemas de información. Revelación de información (Information Disclosure)
I
Cuando la aplicación revela información sensible de forma no controlada debido a un error en la programación o un fallo en la configuración del servicio o aplicación. Denegación de servicio (Denial of Service)
D
Introducción de información maliciosa que logre la saturación o el bloqueo de la aplicación y de los servicios que esta proporciona generando como consecuencia la caída de la aplicación o el sistema informático. Elevación de privilegios (Elevation of Privilege)
E
Una elevación de privilegios se produce cuando un atacante tiene la capacidad para obtener privilegios que normalmente no tendrían. Esto se logra mediante la alteración o ataque a la aplicación obteniendo unos niveles de acceso mayores de los inicialmente otorgados, saltándose así la política de control de acceso predefinida.
Informes: Actividades Informes: Actividades sobre el diseño de la seguridad y ensayos en la fase de análisis y verificación. Metodología única: única: permite a los usuarios visualizar y comprender mejor las amenazas. Diseñadas para desarrolladores y centradas en el software: muchos software: muchos enfoques están centrados en recursos o atacantes. Estamos centrados en el software. Nos basamos en actividades con las que todos los arquitectos y desarrolladores de software están familiarizados, como dibujar imágenes para la arquitectura de su software. Centradas en el análisis de diseño: diseño: el término "modelado de amenazas" puede hacer referencia a un requisito o a una técnica de análisis de diseño. A veces, hace
TEMA 3 – Actividades
© Universidad Internacional de La Rioja (UNIR)
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Espinel Espinel Armas 13 febrero - 2019 –
Nombre: Stalin Fernando
referencia a una compleja combinación de ambas. El enfoque de SDL de Microsoft para el modelado de amenazas es una técnica de análisis de diseño prioritaria. DIAGRAMA DFD DE LA ARQUITECTURA DE LA APLICACIÓN
VALORACIÓN DE AMENAZAS AMENAZAS Para la valoración de amenazas se utilizó la siguiente fórmula (R + E + DI) x (D + A) = P x I, en donde la sumatoria de (R + E + DI) representa la Probabilidad de Ocurrencia (P), multiplicada por (D + A) que representa el Impacto Potencial (I), de estos conceptos se desprende la siguiente tabla.
Amenaza
Falsificación del almacén de datos de origen BDD_SQL_Credenciales & Productos
TEMA 3 – Actividades
Impacto Probabilidad de Potencial Ocurrencia (P) (I) R
E
DI
D
A
3
2
3
3
2
P
I
(R+E+DI) (D+A)
8
Riesgo PxI
5
© Universidad Internacional de La Rioja (UNIR)
40
Asignatura Seguridad en el Software
Datos del alumno Apellidos: Espinel Espinel Armas
13 febrero - 2019 –
Nombre: Stalin Fernando
Suplantación de almacenamiento de datos de destino en la nube de almacenamiento El almacén de datos niega que el almacenamiento en la nube pueda escribir datos El flujo de datos a BackUPDatos_OUT es potencialmente interrumpido Almacén de Datos Inaccesible Suplantación de Almacenamiento de Datos de Origen en la Nube Falsificación del Almacén de Datos de destino BDD_SQL_Credenciales & Productos El Almacén de Datos niega que BDD_SQL_Credenciales y Productos puedan escribir datos El Flujo de Datos BackUPDatos_IN es Potencialmente Interrumpido Almacén de Datos Inaccesible Falsificación del Proceso del Servidor Web Memoria del Proceso del Servidor Web Manipulada Posible Repudio de Datos por el Navegador del Cliente Proceso Potencial de Ruptura o Parada para el Navegador del Cliente Acceso al Flujo de Datos Web_OUT es
TEMA 3 – Actividades
Fecha
3
2
3
2
2
8
4
32
3
1
2
3
2
6
5
30
3
2
3
3
2
8
5
40
3
3
3
3
2
9
5
45
3
2
2
3
2
7
5
35
3
2
2
3
1
7
4
28
3
3
2
3
1
8
4
32
3
2
1
2
3
6
5
30
3
2
2
2
3
7
5
35
3
2
1
3
2
6
5
30
3
1
1
3
2
5
5
25
2
2
3
2
1
7
3
21
3
2
2
1
1
7
2
14
2
2
2
2
1
6
3
18
© Universidad Internacional de La Rioja (UNIR)
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Espinel Espinel Armas 13 febrero - 2019 –
Nombre: Stalin Fernando
Potencialmente Interrumpido Elevación Mediante Suplantación El Navegador del Cliente puede estar sujeto a la Elevación de Privilegios mediante la ejecución remota de código Elevación por el Cambio del flujo de Ejecución en el Navegador del Cliente Falsificando los Procesos del Navegador del Cliente Scripts de Sitios Cruzados
3
2
1
2
2
6
4
24
3
2
2
1
3
7
4
28
3
2
3
2
2
8
4
32
3
3
2
2
2
8
4
32
3
3
2
1
2
8
3
24
Para la asignación de la calificación del DREAD se consideró la siguiente tabla.
TEMA 3 – Actividades
© Universidad Internacional de La Rioja (UNIR)
Asignatura Seguridad en el Software
Datos del alumno
Fecha
Apellidos: Espinel Espinel Armas 13 febrero - 2019 –
Nombre: Stalin Fernando
Para la aplicación de salvaguardas se utilizó la siguiente tabla Amenazas
Propiedad
Spoofing identity (Suplantación de Identidad)
Autenticación
Tampering with Data (Manipulación de datos)
Integridad
Salvaguardas Salvaguardas Procesos de Autenticación, Autorización y Auditoría (AAA): hash, firma digital. digital.
Protección de secretos
No almacenamiento de secretos
Inicio de sesión único
IPSEC
Procesos de AAA: hash, firma digital.
Códigos de autenticación de mensajes.
Firmas digitales.
Repudiation (Repudio) No Repudio
Information Disclosure (Revelación
Confidencialidad
de información)
Denial of Service (Denegación de servicio)
Disponibilidad
Elevation of Privilege (Elevación de
Autorización
privilegios)
Protocolos resistentes a la manipulación. Listas control de acceso ACL Procesos de Autenticación: hash, firma digital.
Procesos de Auditoría.
Sellado de tiempo.
Procesos de AAA: hash, firma digital.
Protección de secretos
No almacenamiento de secretos.
Protocolos seguros.
Encriptado.
Procesos de AAA: hash, firma digital.
Listas control de acceso ACL.
Calidad de servicio.
Listas control de acceso ACL.
Control de acceso basado en roles.
Trabajar con el mínimo privilegio.
Validación de entradas
TEMA 3 – Actividades
© Universidad Internacional de La Rioja (UNIR)
Asignatura Seguridad en el Software
TEMA 3 – Actividades
Datos del alumno
Fecha
Apellidos: Espinel Espinel Armas 13 febrero - 2019 –
Nombre: Stalin Fernando
© Universidad Internacional de La Rioja (UNIR)