¿Qué es un modelo de amenazas?

¿Qué es un modelo de amenazas?

Cada día, se publican noticias acerca de una nueva amenaza para la seguridad de la tecnología de la información: hackers, ataques de denegación de servicio, ransomware, divulgaciones de información no autorizadas. Resulta complicado determinar por dónde empezar a abordarlas. Tan complicado como saber cuándo parar de hacerlo. Deja que el modelado de amenazas te ayude.

Los modelos de amenazas identifican los riesgos y los priorizan. Si bien normalmente se los asocia con la tecnología de la información, los modelos de amenazas se pueden utilizar para identificar diferentes tipos de riesgo. Por ejemplo, un modelo de amenazas puede identificar un huracán como un riesgo para los propietarios de inmuebles en el sureste de Estados Unidos. Una vez que se han identificado los riesgos, los modelos de amenazas ayudan a priorizarlos y a valorar los costes y beneficios de abordarlos. Por ejemplo, un modelo de amenazas que tenga que valorar la instalación de ventanas de mayor calidad o contraventanas puede considerar las contraventanas la mejor respuesta.

En el caso de la tecnología de la información, los modelos de amenazas se utilizan para identificar posibles atacantes y hackers, las vías de ataque más probables y el hardware y software con más posibilidades de sufrir ataques. A continuación, los equipos defensores pueden determinar los controles de seguridad necesarios para proteger el sistema de dichas amenazas y decidir cuáles implementar en función de los costes y beneficios de cada uno.

Objetivos del modelado de amenazas

El modelado de amenazas evalúa las amenazas y los riesgos para los sistemas de información, identifica las probabilidades de que cada amenaza sea efectiva y analiza la capacidad de la organización de responder ante las amenazas identificadas.

1. Identificación de los requisitos de seguridad y las vulnerabilidades

El proceso de modelado de amenazas requiere identificar los requisitos de seguridad y las vulnerabilidades de seguridad. A menudo, los expertos externos detectan mejor las vulnerabilidades de seguridad. Es más, recurrir a un experto externo puede ser la forma más eficiente de valorar los controles de seguridad.

Lo primero que debes hacer es un trazar un diagrama de cómo los datos se transfieren a través del sistema, en qué punto entran al sistema, cómo se accede a ellos y quién puede hacerlo. Elabora una lista de todo el software y otras aplicaciones del sistema e identifica la arquitectura del sistema.

A continuación, utiliza el modelado de amenazas para identificar posibles amenazas para el sistema. Por ejemplo, ¿hay terminales en espacios públicos que no estén protegidos con contraseñas? ¿Se encuentra el servidor en una sala sin llave? ¿Se ha cifrado la información confidencial?

2. Cálculo de la gravedad de las amenazas y vulnerabilidades

Los sistemas informáticos ordinarios son vulnerables a miles o incluso millones de amenazas potenciales. Ninguna organización puede permitirse el lujo de abordar de igual modo a todas las amenazas ni de ignorarlas. Ninguna organización puede permitirse el lujo de abordar todas las amenazas potenciales como si fueran críticas. Dado que los presupuestos y el tiempo son limitados, se deben priorizar aquellas amenazas más graves.

El sistema de puntuación de vulnerabilidades comunes (CVSS) clasifica las amenazas potenciales en una escala del 1 al 10 en función de su gravedad y de si la vulnerabilidad se ha aprovechado desde su descubrimiento. El 10 en la escala del CVSS representa el nivel de amenaza más elevado. El 1 en la escala del CVSS representa el nivel de amenaza más bajo. El sistema de puntuación de amenazas del CVSS permite a los equipos de seguridad acceder a una fuente externa fiable de inteligencia sobre amenazas.

Una puntuación del CVSS sin procesar no tiene en cuenta el contexto de la vulnerabilidad ni su ubicación en el sistema de tecnología de la información. Algunas vulnerabilidades serán más graves para unas organizaciones que para otras.

3. Priorización de métodos de corrección

Una vez que hayas identificado la gravedad de cada vulnerabilidad para tu organización, podrás decidir cuáles son las más importantes de corregir. Este proceso se denomina análisis de amenazas. El análisis de amenazas identifica los puntos débiles del sistema y las amenazas que podrían suponer los ataques que se aprovechen de ellos. Es fundamentalmente abordar inmediatamente las vulnerabilidades más graves para añadir controles de seguridad. Es posible que no debas abordar en absoluto las vulnerabilidades menos graves, ya que hay pocas probabilidades de que se aprovechen y, de hacerlo, no suponen un gran riesgo.

¿Cómo debes abordar el modelado de amenazas?

Hay diferentes formas de abordar el modelado de amenazas. Para elegir la metodología correcta, primero se debe entender completamente el proceso de modelado de amenazas.

Descripción del proceso de modelado de amenazas

El modelado de amenazas identifica los tipos de amenazas a las que se enfrenta una aplicación de software o un sistema informático. Lo más recomendable es llevar a cabo el proceso de modelado de amenazas durante el diseño del software o sistema, de manera que las vulnerabilidades se puedan abordar antes de poner en marcha el sistema. Asimismo, los cambios en el software, la infraestructura y el entorno de amenazas también representan grandes oportunidades para revisar los modelos de amenazas.

Por norma general, el proceso de modelado de amenazas consta de los siguientes cinco pasos:

1. Establecer los objetivos del análisis.
2. Crear un modelo visual del sistema que se va a analizar.
3. Utilizar el modelo visual para identificar las amenazas a las que se enfrenta el sistema.
4. Tomar las medidas necesarias para mitigar las amenazas.
5. Comprobar que las amenazas se han mitigado.

Identificación de diferencias en las metodologías de modelado de amenazas

El modelado de amenazas identifica amenazas centrándose en ataques potenciales, los recursos del sistema o el propio software. El modelado de amenazas centrado en recursos se basa en los recursos del sistema y en el impacto que tendría en el negocio la pérdida de cada recurso atacado. Por ejemplo, un modelado de amenazas centrado en recursos podría preguntar qué impacto tendría para la empresa que un hacker consiguiera bloquear el acceso al sistema de gestión de pedidos en línea. ¿La respuesta? Seguramente un gran impacto. Por otro lado, un virus que infecta un programa de software que se utiliza solo para rastrear recursos permanentes posiblemente supondría un impacto bajo en el negocio, ya que son datos que también constan en papel.

El modelado de amenazas centrado en ataques identifica las amenazas a las que se enfrenta el sistema que tienen más probabilidades de ser efectivas. Por ejemplo, un modelado de amenazas centrado en ataques podría preguntar qué probabilidades hay de que un hacker sea capaz de bloquear el sistema de gestión de pedidos en línea durante un ataque de denegación de servicio. ¿La respuesta? Seguramente muchas, ya que el sistema tiene una vulnerabilidad intrínseca y ampliamente conocida.

Por último, el modelado de amenazas centrado en el sistema se basa en el modelado del sistema antes de la evaluación de las amenazas a las que se enfrenta. Por ejemplo, lo primero que hace un modelado de amenazas centrado en el sistema es preguntar dónde residen los datos del sistema de pedidos en línea y cómo y desde dónde se puede acceder al sistema.

Elección de las mejores metodologías de modelado de amenazas

¿Qué metodología de modelado de amenazas es más adecuado para tu sistema? La metodología adecuada para tu sistema depende de los tipos de amenazas que quieras modelar. Valora los siguientes aspectos:

1. Los tipos de amenaza y de riesgos a los que se enfrentan habitualmente otras empresas del sector
2. La cantidad de personal y su nivel de competencia
3. Los recursos disponibles, tanto financieros como de otros tipos
4. Tu nivel de tolerancia al riesgo

Ejemplos de marcos de modelado de amenazas

A continuación, te presentamos algunos ejemplos de las metodologías de modelado de amenazas más populares:

Esquemas de árbol de ataques

Los esquemas de árbol de ataques se basan en los diagramas de árbol de toma de decisiones. La "raíz" o base del árbol representa el objetivo del atacante. Las ramas y "hojas", las formas de alcanzar ese objetivo. Los esquemas de árbol de ataques demuestran que, a menudo, los atacantes tienen muchas formas de lograr su objetivo.

STRIDE

Microsoft desarrolló STRIDE como método para identificar un amplio abanico de amenazas potenciales para sus productos. STRIDE es un acrónimo en inglés correspondiente a seis amenazas potenciales:

• Suplantaciones de identidad: Los atacantes podrían obtener acceso al sistema fingiendo ser un usuario autorizado.
• Manipulación de datos: Los atacantes podrían modificar datos del sistema sin autorización.
• Repudio: Los atacantes no asumen la responsabilidad de determinadas acciones, lo cual puede ser cierto o no.
• Divulgación de información: Los atacantes proporcionan la información a una persona no autorizada para acceder a ella.
• Denegación de servicio: Los atacantes agotan los recursos necesarios para proporcionar servicios a usuarios legítimos.
• Elevación de privilegios: Los atacantes llevan a cabo una acción (como acceder a datos confidenciales) para la que no están autorizados.

PASTA

El proceso de simulación de ataques y análisis de amenazas (PASTA, por sus siglas en inglés) analiza la aplicación cómo lo haría un atacante. El proceso PASTA consta de siete pasos:

1. Definir los objetivos empresariales, los requisitos de seguridad del sistema y el impacto que tendrían en el negocio una serie de amenazas
2. Definir el alcance técnico del entorno y las dependencias entre la infraestructura y el software
3. Realizar un diagrama del flujo de datos dentro de la aplicación
4. Ejecutar simulaciones de ataques en el sistema
5. Asociar las amenazas a vulnerabilidades existentes
6. Esbozar esquemas de árbol de ataques
7. Analizar los riesgos resultantes y desarrollar medidas rentables para contrarrestarlos

Trike

Trike utiliza los modelos de amenazas no para eliminar, sino para gestionar los riesgos, definiendo niveles de riesgo aceptables para diferentes tipos de recursos. Trike indica el nivel de acceso de cada usuario a cada recurso del sistema (permiso para crear, consultar, actualizar y eliminar), además de si el usuario tiene permiso para realizar cada acción siempre, a veces o nunca.

VAST

Amenazas simples, ágiles y visuales (VAST, por sus siglas en inglés) es un proceso de modelado de amenazas automatizado que se aplica a las amenazas sobre las aplicaciones o las operaciones de la empresa. Para modelar las amenazas sobre las aplicaciones, VAST esboza un diagrama de la amenaza sobre la arquitectura del sistema. Para modelar las amenazas sobre las operaciones, VAST esboza un diagrama de la amenaza desde la perspectiva del atacante.

CVSS

El sistema de puntuación de vulnerabilidades comunes (CVSS, por sus siglas en inglés) asigna un nivel de gravedad a cada vulnerabilidad. Este nivel engloba su vulnerabilidad intrínseca, la evolución de la vulnerabilidad a lo largo del tiempo y el nivel de seguridad de la organización.