Universidad Tecnolgica de Panam

Facultad de Ingeniera de Sistemas Computacionales

Maestra en Seguridad Informtica
Aplicaciones Seguras

Identificacin y Clasificacin de amenazas

con modelos STRIDE Y DREAD

Facilitador:
Xiegdiel Miranda

Contenido

Introduccin
Modelado de amenazas (Threat modeling)
Por qu modelar amenazas?
Proceso de Modelado de Amenazas
Modelo STRIDE
Modelo DREAD

INTRODUCCIN
El modelado de amenazas es una tcnica de
ingeniera cuyo objetivo es ayudar a identificar
y planificar de forma correcta la mejor manera
de mitigar las amenazas de una aplicacin o
sistema informtico.
Para aprovechar mejor los beneficios que
proporciona su uso, en un escenario ideal
debera iniciarse desde las primeras etapas del
desarrollo y planificacin de cualquier sistema.
Su mayor ventaja radica en el hecho de que al
aplicarse como un proceso durante todo el
ciclo de vida de desarrollo del software, supone
un enfoque diferente al tradicional anlisis de
riesgos y la posterior aplicacin de medidas
que contribuyan a mejorar la seguridad.

MODELADO DE AMENAZAS

Un modelo de amenazas es en
esencia una representacin
estructurada de toda la
informacin que afecta a la
seguridad de una aplicacin. En
s, es una vista de la aplicacin y su
entorno a travs de los "anteojos"
de la seguridad.

Implica realizar procesos para

capturar, organizar y analizar
toda esta informacin. Permite
tomar decisiones informadas sobre
los riesgos de seguridad en las
aplicaciones.

Adems de producir un modelo, los

esfuerzos para un modelado de
amenazas tpico tambin
producen una lista priorizada

POR QU MODELAR AMENAZAS?

Uno de los principios bsicos de gestin de riesgos es que no

todas las vulnerabilidades presentan una amenaza. Solo
una vulnerabilidad que puede ser explotada es una amenaza para
los activos de informacin y las operaciones del negocio.

El modelado de amenazas ayuda a identificar aquellas

vulnerabilidades que son realmente crticas en su entorno
nico como la red en la que opera.

El proceso de modelado de amenazas debera:

Identificar las amenazas potenciales y las condiciones que
deben existir para que un ataque sea exitoso.
Proveer informacin acerca de qu condicin de ataque y que
actividad de remediacin de vulnerabilidades
Ayudar a comprender qu condiciones o vulnerabilidades,
cuando son eliminadas o mitigadas, afectan a mltiples
amenazas. Esto optimiza la inversin en seguridad.

PROCESO DE MODELADO DE
AMENAZAS

Para saber cuales son las

amenazas es preciso conocer
cuales son los puntos de
entrada, los niveles de confianza
y los activos de mayor inters.

Durante el desarrollo del

modelado, se utilizan diferentes
mtodos, como los rboles de
ataques y los diagramas de flujo
de datos.

Una vez efectuados los pasos

iniciales del proceso, se procede
a realizar una clasificacin y
puntuacin de las amenazas , de
modo que el equipo de trabajo
pueda determinar las distintas
prioridades.

MODELO STRIDE

MODELO STRIDE

STRIDE es un sistema de clasificacin de amenazas, el cual

consiste en un acrnimo que representa el espectro de
amenazas de seguridad que pueden afectar a un sistema.

Las seis categoras de amenazas detalladas a continuacin

pueden ayudar a identificar los vectores de
vulnerabilidades y posibles ataques a una aplicacin:

MODELO STRIDE
1. Suplantacin de identidad
Suplantar quiere decir adoptar la personalidad de otra
persona en un equipo. Un ejemplo de suplantacin de
identidad es el acceso ilegal a la informacin de autenticacin
de otro usuario y el posterior uso de la misma, como el
nombre de usuario y la contrasea.
2. Manipular datos
La manipulacin de datos implica la modificacin
malintencionada de stos. Algunos ejemplos son la
modificacin no autorizada de datos persistentes, como los
que se mantienen en una base de datos, o la modificacin de
datos durante su transferencia entre equipos en una red
abierta como, por ejemplo, Internet.

MODELO STRIDE
3. Repudio
Las amenazas de repudio son aquellas en las que los usuarios
niegan la autora de una accin sin que otras partes puedan
probar lo contrario. Por ejemplo, un usuario realiza una operacin
ilegal en un sistema sin que exista la posibilidad de realizar un
seguimiento de la misma.
De igual forma, el no rechazo se refiere a la posibilidad de un
sistema de contrarrestar las amenazas de repudio. Por ejemplo,
un usuario que adquiere un artculo tiene que firmar un recibo al
entregarse dicho artculo. De esta forma, el proveedor puede
utilizar el recibo firmado como prueba de la entrega del paquete.
4. Divulgacin de informacin
Las amenazas de divulgacin de informacin suponen la
revelacin de informacin a individuos que no deben tener acceso
a la misma. Por ejemplo, la posibilidad de que los usuarios lean un
archivo al que no se les ha proporcionado acceso, o la posibilidad
de un intruso de leer datos que se estn transfiriendo entre dos

MODELO STRIDE
5. Denegacin de servicio
Los ataques por denegacin de servicio (DoS) ocasionan la
prdida de servicio a los usuarios vlidos, por ejemplo,
deshabilitando temporalmente un servidor Web. Debe
protegerse contra determinados tipos de amenazas DoS a fin
de mejorar la disponibilidad y fiabilidad del sistema.
6. Elevacin de privilegios
En este tipo de amenaza, un usuario sin privilegios obtiene
acceso con privilegios y, por tanto, la capacidad de poner en
peligro o destruir todo el sistema. Un tipo de amenaza de
elevacin de privilegios es la situacin en la que un agresor
burla todas las defensas del sistema con xito y se integra en
la parte del sistema de confianza.

MODELO STRIDE

Para aplicar el modelo STRIDE, se descompone el sistema en

componentes significativos, luego se analiza cada componente
para comprobar si es susceptible de sufrir amenazas y
finalmente se proponen acciones para mitigarlas. Este proceso
se repite hasta cubrir las posibles amenazas restantes.

Como se utiliza un modelo de informacin basado en patrones,

se podrn identificar los patrones de soluciones y problemas
repetibles, y organizarlos en categoras.

Esto permite efectuar un mayor anlisis que a su vez

promueve la reutilizacin de la informacin y una
comunicacin ms eficaz.

MODELO STRIDE
DEMOSTRACIN
Descripcin de la
Amenaza

Inyeccin de comandos SQL

Objetivo de la Amenaza Modificacin de saldos en cuentas

bancarias
Clasificacin de Riesgo

Tampering with Data

Elevation of Privilege

Tcnicas de ataque

SQL Inyection

Contramedidas

No almacenar procedimientos
almacenados
Cifrar datos almacenados
Adecuar ACLs
Atacante obtiene
credenciales de usuario por
medio de monitoreo de red

Descripcin de la
Amenaza
Objetivo de la
Amenaza

Proceso de autenticacin de
usuario en Aplicacin Web

Clasificacin de
Riesgo

Tampering with Data

Tcnicas de ataque

Uso de monitor de red

MODELO DREAD

MODELO DREAD
DREAD es un esquema de clasificacin para
cuantificar, comparar y dar prioridad a la
cantidad de riesgo que presenta una amenaza
especfica.
El algoritmo de clculo de riesgo DREAD se fija en
base a un promedio de las cinco categoras
contempladas:

MODELO DREAD
Tabla de Calificacin de Amenazas

MODELO DREAD
Ejemplo de Calificacin de Amenazas
Descripcin de
Amenaza
Atacante obtiene
credenciales de
usuario por medio de
monitoreo de red

D R E A D

TOTAL

CALIFICACI
N

3 3 2 2 2

12

Alta

14

Alta

Comandos SQL
3
inyectados
en la
Descripcin
de la
aplicacin
Amenaza

3 3 3 2

Atacante obtiene
credenciales de usuario por
medio de monitoreo de red

Objetivo de la
Amenaza

Proceso de autenticacin de
usuario en Aplicacin Web

Clasificacin de
Amenaza

Information Disclosure

Calificacin del Riesgo Alto

Tcnicas de ataque

Uso de monitor de red

Contramedidas

Usar SSL para proveer un canal

cifrado