Asignatura Datos del alumno Fecha

Apellidos: Cruzado Jiménez

Seguridad en el
9/06/2019
Software
Nombre: Jose Carlos

Solución
Trabajo: Metodologías de modelado de amenazas
Introducción al modelado de amenazas.

El modelado de amenazas, también conocido como TM por sus siglas en ingles

de Threat Modeling, es una técnica de comprobación cuyo objetivo es identificar
y planificar de forma correcta la mitigación de las amenazas de una aplicación.
Acorde a lo anterior, TM corresponde a un framework que se utiliza para el
proceso de análisis de riesgo estructurado y una de sus principales
características, también considerada como una ventaja, es su aplicación durante
estapas tempranas del ciclo de desarrollo de software seguro.
De forma global, el modelado de amenazas consiste en la revisión del diseño y la
arquitectura de la aplicación siguiendo una metodología que permite identificar
las potenciales amenazas de una aplicación y dar un valor cuantitativo de cada
riesgo a los cuales estará expuesta, para la corrección de problemas actuales o
futuros.
El proceso de modelado de amenazas esta conformado por 6 etapas enumeradas
a continuación:
1. Conformación de un grupo de análisis de riesgos
2. Descomposición de la aplicación e identificación de componentes clave
3. Definición de las amenazas de cada componente de la aplicación
4. Asignación un valor a cada amenaza
5. Definición de respuesta a cada amenaza
6. Identificación de técnicas y tecnologías para mitigar riesgos identificados

Estudio de metodologías existentes.

Para realizar el modelado de amenazas existen gran variedad de metodologías que
permiten mitigar los riesgos y realizar mediciones de los mismos durante el proceso
de desarrollo del software.

• CORAS (Consultative Objective Risk Analysis System): Proporciona un

lenguaje personalizado para el modelado de amenazas y riesgos. Maneja pautas

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Cruzado Jiménez
Seguridad en el
9/06/2019
Software
Nombre: Jose Carlos

que explican cómo se debe usar el lenguaje para capturar y modelar

información relevante durante las distintas etapas del análisis de seguridad.

• Trike: Metodología de modelado de amenazas de software libre iniciada en el

2006.
Hay dos implementaciones de trike. Una es una hoja de cálculo y la otra es una
herramienta de escritorio independiente
A día de hoy han existido 3 versiónes de esta metodología: V1, V1.5 y V2

• PTA (Practical Threat Analysis): Es una metodología que permite a

analistas y asesores de seguridad a evaluar los riesgos operativos y de seguridad
en sus sistemas para crear políticas.
Dentro de su proceso de modelado práctico de análisis de amenazas permite
identificar las vulnerabilidades del sistema, mapear los activos del sistema,
evaluar el riesgo de las amenazas y definir un plan efectivo de mitigación de
riesgos para una arquitectura, funcionalidad y configuración específicas del
sistema

• Ace Threat Analysis and Modeling: Establecida por Microsoft y basada en

una combinación de ideas propias con diversos enfoques.
Permite generar una clasificación que ayuda en la priorización de los riesgos de
una aplicación acorde a cinco etapas o fases.

• PASTA: Es una metodología de 7 pasos centrada en el riesgo que alinea los

requisitos comerciales y técnicos , proporcionando un proceso dinámico de
identificación, enumeración y puntuación de amenazas.

Descripción de una metodología en profundidad.

Ace Threat Analysis and Modeling
Es una metodología de modelado de amenazas creada por Microsoft, basada en una
combinación de ideas propias que han venido evolucionando sobre diferentes
enfoques.

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Cruzado Jiménez
Seguridad en el
9/06/2019
Software
Nombre: Jose Carlos

Inicialmente se diseño para construir un árbol que relacionara los principales

vectores de ataques y las amenazas. Esto permitiría realizar una clasificación que
ayudaran en la priorización de los riesgos.

Objetivos de Ace Threat Analysis and Modeling

▪ Proporcionar una metodología consistente para identificar y evaluar
objetivamente las amenazas a las aplicaciones.
▪ Traduce el riesgo técnico al impacto empresarial.
▪ Capacitar a la empresa para gestionar el riesgo
▪ Crea conciencia entre los equipos de seguridad dependencias y suposiciones.

Desde el enfoque del atacante, con esta metodología, es posible identificar:

▪ Puntos de entrada de la aplicación
▪ Activos a proteger
▪ Niveles de confianza

Para establecer los niveles de seguridad del sistema se manejan:

▪ Casos de uso
▪ Conocimiento de dependencias
▪ Modelos del sistema

En la definición de las amenazas de la aplicación se obtiene:

▪ Identificación de amenazas
▪ Análisis y clasificación de amenazas
▪ Vulnerabilidades

El proceso de modelado de amenazas para esta metodología maneja cinco

pasos/etapas:
▪ Conformar un grupo de análisis de riesgos
▪ Descomponer la aplicación e identificar componentes clave
▪ Determinar las amenazas de cada componente de la aplicación
▪ Asignar valores a cada amenaza
▪ Definir como responder cada amenaza

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Cruzado Jiménez
Seguridad en el
9/06/2019
Software
Nombre: Jose Carlos

Ejercicio práctico de modelado de amenazas

Realización del diagrama DFD de la arquitectura de la aplicación
A continuación se muestra el diagrama DFD modelado en la herramienta:

Una vez aplicada la plantilla caso1 v2.tb7 se visualiza el análisis de la herramienta de

la siguiente manera:

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Cruzado Jiménez
Seguridad en el
9/06/2019
Software
Nombre: Jose Carlos

Valorar las amenazas

Se realizó la valoración de 19 amenazas con el método DREAD (Damage,

Reproducibility, Exploitability, Affected, DIscoverability).
Los resultados de la valoración de las 19 amenazas seleccionadas se muestran a
continuación:
Probabilidad de Impacto
P I Riesgo
Ocurrencia (P) Potencial (I)
Amenaza R E DI D A (R+E+DI) (D+A) PxI
Posible repudio de datos por el
1 1 2 1 3 4 4 16
servidor web
Posible bloqueo o detención
del proceso para el servidor 2 2 3 3 3 7 6 42
web
El flujo de datos HTTPS está
2 3 3 2 3 8 5 40
igualmente interrumpido

Posible vulnerabilidad de
inyección de SQL para 3 2 2 3 3 7 6 42
SQL_DB_Credential_Products

Falsificación del almacén de

datos de origen 2 3 1 3 1 6 4 24
SQL_DB_Credential_Products

Suplantación de BD-Logs del

2 3 1 1 1 6 2 12
almacén de datos de destino
Control de acceso débil para
1 2 1 3 3 4 6 24
un recurso
Detección de flujo de datos 1 1 1 2 1 3 3 9
Bypass de autorización 1 1 2 3 2 4 5 20
Riesgos de registros de log 2 1 2 1 1 5 2 10
Ataques de colisión 3 3 3 2 1 9 3 27
Falsificación de la entidad
2 2 2 3 3 6 6 36
externa de administración
Falsificación de la entidad de
destino externa del proveedor 1 1 3 3 3 5 6 30
de autorización

El administrador de la entidad
externa niega potencialmente 1 2 1 1 1 4 2 8
recibir datos

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Cruzado Jiménez
Seguridad en el
9/06/2019
Software
Nombre: Jose Carlos

El almacén de datos Data Store

niega que el almacenamiento
1 2 1 1 1 4 2 8
en la nube pueda escribir datos
potencialmente

Actualización de LOGS de
sujetos de bajos niveles de 2 2 2 1 1 6 2 12
confianza

Almacén de datos inaccesibles 1 1 1 2 1 3 3 9

Debilidad en la Autorización
1 2 2 2 3 5 5 25
de SSO
Memoria del proceso del 2 2 2 2 3 6 5 30
servidor web manipulada

En la herramienta se realizó la valoración de estas 19 amenazas con su respectiva

traducción en español tanto del título de la amenaza como de su descripción y
salvaguardas.

Salvaguardas

En el fichero que contiene el modelado de amenazas para el trabajo se incluyen las

respectivas salvaguardas para cada uno de las amenazas seleccionadas.
A continuación una tabla que resume las salvaguardas para cada una de las 19
amenazas:

Amenazas Categoría Salvaguardas

-Mínimos privilegios al usuario de
Posible vulnerabilidad de inyección de
Tempering conexión a BD
SQL para SQL_DB_Credential_Products
-Listas de control de acceso

-Protocolos resistentes a la manipulación

Riesgos de registros de log Tempering
-Códigos de autenticación de mensajes

Memoria del proceso del servidor web

Tempering -Protocolos resistentes a la manipulación
manipulada

Ataques de colisión Tempering -Protocolos resistentes a la manipulación

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Cruzado Jiménez
Seguridad en el
9/06/2019
Software
Nombre: Jose Carlos

-Procesos de Autenticación, Autorización

Falsificación de la entidad externa de y Auditoría (AAA): hash, firma digital.
Spoofing
administración -SSO
-Protección de secretos

-Listas de control de acceso

Falsificación del almacén de datos de -Procesos de Autenticación, Autorización
Spoofing
origen SQL_DB_Credential_Products y Auditoría (AAA): hash, firma digital
-IPSEC

-Listas de control de acceso

Suplantación de BD-Logs del almacén
Spoofing -Mínimos privilegios
de datos de destino
-IPSEC

-Procesos de Autenticación, Autorización

Falsificación de la entidad de destino
Spoofing y Auditoría (AAA): hash, firma digital.
externa del proveedor de autorización
-SSO

Posible repudio de datos por el -Implementación de protocolo TLS1.2

Repudiation
servidor web -Implementación certificado SSL

El administrador de la entidad externa

Repudiation -Procesos de Auditoría
niega potencialmente recibir datos

El almacén de datos Data Store niega

que el almacenamiento en la nube Repudiation -Procesos de Auditoría - Logs
pueda escribir datos potencialmente
Actualización de LOGS de asuntos de
Repudiation -Procesos de Auditoría
bajos niveles de confianza
Control de acceso débil para un Information -Encriptado
recurso Disclosure -Protocolos seguros
Information
Detección de flujo de datos -Encriptado
Disclosure
Information -Protección de secretos
Bypass de autorización
Disclosure -Mínimos privilegios
Posible bloqueo o detención del Denial of
-Listas control de acceso ACL
proceso para el servidor web Services
El flujo de datos HTTPS está Denial of
-Listas control de acceso ACL
igualmente interrumpido Services
Posible bloqueo o detención del Denial of
-Listas control de acceso ACL
proceso para el servidor web Services
Denial of -Listas control de acceso ACL
Almacén de datos inaccesibles
Services -Procesos de AAA: hash, firma digital

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)

 Asignatura Datos del alumno Fecha
Apellidos: Cruzado Jiménez
Seguridad en el
9/06/2019
Software
Nombre: Jose Carlos

Nota: En el archivo comprimido entregado se adjuntan el fichero del modelado de

amenazas y el respectivo informe generado por la plataforma.

TEMA 3 –Actividades © Universidad Internacional de La Rioja (UNIR)