¿Que es el modelado de amenazas y por que deberia tener cuidado?
¿Que es un modelado de amenazas?
Si bien no existe una definicion exacta para toda la industria, el modelado de amenazas se puede resumido como una practica para analizar proactivamente la postura de ciberseguridad de un sistema o sistema de sistemas. El modelado de amenazas se puede realizar tanto en las fases de diseno / desarrollo como para entornos de sistema
en vivo.
A menudo se le llama Diseno para la seguridad. En resumen, el modelado de amenazas responde preguntas como "¿Donde soy mas vulnerable a un ataque?", "¿Cuales son los principales riesgos?" Y "¿Que debo hacer para reducir estos riesgos?".
Mas especificamente, el modelado de amenazas identifica amenazas de seguridad cibernetica y
vulnerabilidades y proporciona informacion sobre el estado de la seguridad, asi como controles o defensas que se deben implementar dada la naturaleza de el sistema, los activos valiosos a proteger, los perfiles de los atacantes potenciales, los vectores de ataque potenciales y las rutas de ataque potenciales al valor de los grandes activos.
El modelado de amenazas puede constar de los siguientes pasoss: 1. Cree una representacion del entorno para analizar
2. Identificar activos de alto valor, actores de amenazas y articular la tolerancia al riesgo
3. Analizar el entorno del sistema desde el punto de vista de los atacantes potenciales:
- ¿Como pueden los atacantes alcanzar y comprometer mis valiosos activos? Es decir. ¿Cuales son las posibles rutas de ataque de como los atacantes pueden alcanzar y comprometer mis activos de alto valor?
- ¿Cuales de estos caminos son los mas faciles y los mas dificiles para los atacantes?
- ¿Cual es mi postura cibernetica? ¿Que tan dificil es para los atacantes alcanzar y comprometer mis activos de alto valor?
Si la seguridad es demasiado baja / los riesgos son demasiado altos,
4. Ididentificar medidas potenciales para mejorar la seguridad a niveles aceptables / objetivo
5. Identificar medidas potenciales a ser implementadas:
los medios mas efectivos para que su organizacion logre
niveles de riesgo aceptables / objetivo
¿Por que es el modelo de amenazas? Valores comerciales
El modelado de amenazas es una forma muy eficaz de tomar decisiones informadas al administrar y mejorar su postura de ciberseguridad. Se puede argumentar que
el modelado de amenazas, cuando se realiza correctamente, puede ser la forma mas efectiva de
administrar y mejorar su postura de riesgo cibernetico, ya que puede ayudarlo
a identificar y cuantificar los riesgos de manera proactiva. y de manera integral y centre sus
medidas de seguridad donde generen el mejor valor.
Identificar y administrar vulnerabilidades y riesgos antes de su implementacion y explotacion
Antes de la implementacion:
El modelado de amenazas permite a las organizaciones "moverse hacia la izquierda " e identificar y detectar los riesgos de seguridad que ya se encuentran en las fases de planificacion / diseno / desarrollo, que son multiples, a menudo 10 veces, 100 veces o incluso mas, mas rentable que resolverlos en la fase de produccion.
Antes de que podamos ser explotados: Como defensores ciberneticos racionales y efectivos, necesitamos capacidades ciberneticas tanto proactivas como reactivas. El fortalecimiento proactivo de la seguridad antes de que ocurran los ataques tiene beneficios obvios.
Sin embargo, esto tambien tiene un costo. El modelado de amenazas eficaz permite al usuario tomar decisiones sobresobre los riesgos de las medidas a implementar de forma proactiva.
Priorice los recursos de seguridad donde creen el mejor valor
L Uno de los principales desafios En la gestion de la ciberseguridad se trata de averiguar como priorizar y asignar recursos limitados para gestionar el riesgo con el mejor efecto por dolar gastado. El proceso de modelado de amenazas, presentado en la primera seccion de este texto, es un proceso para determinar exactamente eso. Cuando se hace de manera efectiva, toma en consideracion todas las partes clave que guian la toma de decisiones racional.
Hay varios beneficios adicionales para el modelado de amenazas. La primera es que todos los
analisis se realizan en una representacion modelo de su entorno,
lo que crea ventajas significativas porque los analisis son no intrusivo. Ademas, los analizadores pueden probar escenarios antes de las implementaciones.
Otro conjunto de valores es que los modelos de amenazas crean un terreno comun para la comunicacion en su organizacion y aumentan la conciencia de la ciberseguridad . Para mantener este texto conciso, aqui destacamos principalmente los valores anteriores. Tambien queremos senalar que hay varios otros valores
excelentes de Threat Modeling, y lo alentamos a explorarlos.
¿Quien hace el modelado de amenazas y cuando?
La pregunta "¿Quien deberia ser un modelo de amenaza?" el Manifiesto sobre el el modelado de amenazas dice "Tu. Todos. Todopersona preocupada por la confidencialidad, seguridad y proteccion de su sistema. Si bien estamos de acuerdo con este principio a largo plazo, queremos matizar la vista y enfatizar la necesidad de automatizacion.
Modelado de amenazas en desarrollo:
Este es el "caso base" para el modelado de amenazas. El modelado de amenazas se realiza normalmente desde la fase de diseno y mas alla del proceso de desarrollo. Es racional y comun hacer esto mas a fondo para los sistemas de alta criticidad y menos rigurosamente para los sistemas de baja criticidad. El trabajo de modelado de amenazas generalmente se realiza mediante una combinacion de equipos de organizacion de desarrollo / DevOps y seguridad.
Las organizaciones mas maduras suelen tener mas trabajo realizado por equipos de Dev / DevOps y menos organizacionesmaduros tienen mas apoyo de la organizacion de seguridad.
Modelado de amenazas de entornos vivos:
Muchas organizaciones tambien realizan modelos de amenazas en sus entornos de vida.
Especialmente para sistemas de alta criticidad. Al igual que con el modelado de amenazas para el desarrollo
, las organizaciones han organizado el trabajo de diferentes formas.
Aqui, el trabajo generalmente lo realiza una combinacion de equipos de operaciones / DevOps
y una organizacion de seguridad.
Por supuesto, es beneficioso que los modelos de amenazas encajen y evolucionen con el tiempo, desde el desarrollo hasta los ciclos operativos y de DevOps.
Tambien publicado en https: //medium.com/faun/threat-modeling-step-by-step-dcbdcd206c6d
