PASTA (Process for Attack Simulation and Threat Analysis)1

PASTA

Faiver Mendez Andrade

Leonardo Díaz Bastidas

Universidad Surcolombiana

PSP

Ing. Diego Andrés Carvajal Ruiz

08 de enero de 2022
PASTA (Process For Attack Simulation And Threat Analysis)2

Contenido

Fase 1: Definir los objetivos 4

Fase 2: Definir el alcance técnico 5

Fase 3: Descomponer la aplicación 5

Fase 4: Analizar las amenazas 6

Fase 5: Conocimiento de vulnerabilidades 6

Fase 6:Construir el árbol de ataques 7

Fase 7: Análisis de riesgos e impactos 8

Conclusión 9

Referencias 10
PASTA (Process For Attack Simulation And Threat Analysis)3

Resumen

PASTA es un acrónimo de Process for Attack Simulation and Threat Analysis, que

básicamente consiste en una metodología o proceso que permite realizar un modelado de

amenazas en una organización. Esta metodología está conformada por 7 fases bien

estructuradas que ayudan a la organización a adaptarla a sus necesidades. En el desarrollo de

este informe se describe cada una de las 7 fases que componen la metodología PASTA. De

ese modo, se mostrará cómo cada etapa se conecta con la siguiente para así alcanzar en las

organizaciones un entorno centrado en la seguridad.

PASTA

PASTA es un acrónimo, que en español traduce el Proceso de Simulación de Ataques

y Análisis de Amenazas. Consiste en una metodología de modelado de amenazas centrada en

el riesgo (Uceda Vélez, 2021).

PASTA establece 7 fases o etapas metodológicas claves que actúan como bloques de

construcción entre sí. Estas fases permiten crear una estructura frente a situaciones inciertas

de los componentes del sistema que se analiza. Con esto se consigue dar contexto en la

estrategia de seguridad general de cualquier organización.

A continuación, se describe cada una de las 7 fases que componen esta metodología

de modelado de amenazas:

Fase 1: Definir los objetivos

En la primera fase, se detallan los objetivos a nivel de negocio que tiene la

organización. También se enumeran los requerimientos de seguridad y cumplimiento

necesarios con el fin de respaldar esos objetivos comerciales siempre cumpliendo con los

estándares de seguridad (Process for Attack Simulation & Threat Analysis, s.f.).

En una organización siempre debe primar la coordinación entre los objetivos del

negocio y los requisitos de seguridad, pues es claro que no se quiere ningún componente

vulnerable, así pues, es importante esta primera fase en la metodología PASTA.

Fase 2: Definir el alcance técnico

En esta fase, se establecen los límites técnicos de la solución bajo análisis, es decir,

lograr comprender lo que se está protegiendo. Es básicamente conocer la superficie de ataque

y los tipos de dependencias que podría tener con terceros. Por ejemplo, algunos componentes

de superficie de ataque son: Aplicación web, configuración del sistema operativo, servidor

DNS, software de terceros, etc.

Fase 3: Descomponer la aplicación

En la tercera fase se realiza un proceso en el que se entiende cómo se comunica todo

el sistema. Se descompone en elementos esenciales para poder analizarlos más a fondo y así

crear simulaciones de ataques y amenazas desde la perspectiva de un atacante.

En esencia, el objetivo de esta etapa es descomponer el sistema en componentes

específicos para identificar las distintas formas de atacarlo.

Fase 4: Analizar las amenazas

Aquí se estudia el entorno de las amenazas en el que se ve expuesto cada uno de los

componentes del sistema, y la probabilidad en función de las capacidades que podrían afectar

a dichos componentes. En esta fase se establecen preguntas que permitan visualizar los

motivos que hay detrás de ataques al entorno del sistema; con esto, se crea una perspectiva

del comportamiento de los ataques y posteriormente se puede elaborar una biblioteca de

amenazas.

Para un buen análisis de amenazas es importante elaborar la información de amenazas

propia haciendo uso de inspectores y registros, internos o externos. Además, se debe conocer

de dónde provienen las fuentes de amenazas y determinar si son o no relevantes.

Fase 5: Conocimiento de vulnerabilidades

En este punto del proceso, considerando la información recabada en los pasos previos,

se identifican las fallas de diseño o funcionalidad de cada uno de los componentes del

sistema, ejercicio que requiere experiencia técnica y experticia práctica que permita

identificar las vulnerabilidades propias de sistema objetivo y sus relaciones.

De encontrarse o de identificar una vulnerabilidad dar una identificación CVE-ID ,

descripción de la vulnerabilidad, que versiones del software están afectadas, dar o buscar

posibles soluciones (si existen).

Fase 6:Construir el árbol de ataques

El objetivo de esta etapa se centra en determinar la viabilidad de materializar las

vulnerabilidades identificadas en el paso anterior. El éxito de este paso está en la capacidad

del profesional que adelanta las pruebas de vulneración para demostrar que las debilidades

identificadas son realmente explotables.

Modelado de ataques, se realiza el ejercicio manera teórica, para comprobar si en un ataque

real podrían afectar el sistema en base a lo que ya hemos detectado y buscar nuevas

vulnerabilidades

Los árboles de ataque son demasiado avanzados o de alto nivel y depende mucho del analista,

se recomienda usar la matriz ATTECK es una base datos de ataques anteriores, con sus

métodos de ataque y objetivos.

(MITRE ATT&CK, s.f.)

Fase 7: Análisis de riesgos e impactos

Esta última fase el modelador de amenazas toma los resultados de la fase anterior y

cuantifica los índices de probabilidad de éxito en algunos de los ataques definidos, con el fin

de establecer el nivel de riesgo de exposición que tiene el sistema, así como los impactos en

sus objetivos de negocio definidos previamente. Se usa también en este último paso una lista

de mitigaciones estándar para que aún sin el conocimiento analítico en el tema poder actuar

para usar las contra medidas.

● Calcular el riesgo de cada amenaza.

● Identificar contra medidas.

● Calcular los riesgos residuales.

Conclusión

Adelantar un ejercicio de análisis de amenazas y vulnerabilidades de un sistema de

información o aplicación utilizando P.A.S.T.A, ofrece una visual detallada de sus

interacciones, las implicaciones técnicas y de negocio que son claves tener en cuenta y los

impactos derivados de la posible materialización de un evento no deseado. En esta dinámica

deben participar equipos de trabajo de las áreas afectadas y los profesionales de seguridad

con el fin de establecer una vista común de los retos que implica el sistema y sus posibles

fallas identificadas.
PASTA (Process For Attack Simulation And Threat Analysis)10

Referencias

Process for Attack Simulation & Threat Analysis. (s.f.). Obtenido de Process for Attack

Simulation & Threat Analysis:

https://cdn2.hubspot.net/hubfs/4598121/Content%20PDFs/VerSprite-PASTA-Threat-

Modeling-Process-for-Attack-Simulation-Threat-Analysis.pdf

Uceda Vélez, T. (23 de noviembre de 2021). VERSPRITE. Obtenido de What is PASTA

Threat Modeling: https://versprite.com/blog/what-is-pasta-threat-modeling/

Jeimy J. Cano M.. Análisis de amenazas y vulnerabilidades:

https://editorial.urosario.edu.co/pub/media/hipertexto/rosario/anexos/proyecto-

cibsi/09_F3_ok.pdf

MITRE ATT&CK. (s.f.). Obtenido de https://attack.mitre.org/