Asignatura Datos del alumno Fecha

Apellidos:
Seguridad en el Software
Nombre:

Actividad: Metodologías de modelado de amenazas

Introducción al modelado de amenazas.

En este trabajo se busca detallar las metodologías de modelado de amenazas y se
profundiza a detalle algunas de ellas, se explica cómo se pueden crear una
“valoración” de las amenazas y como deben documentarse. Permite determinar los
riesgos de seguridad que pueden producirse en determinado producto, aplicación,
entorno de red, así como la manera en que se presentan los ataques. El objetivo en
determinar cuáles son las amenazas que requieren mitigación y los modos de
hacerlo.

Estudio de metodologías existentes

CORAS (Consultative Objective Risk Analysis System)
Es una metodología para el análisis de riesgos de seguridad, desarrollada en año
2001 por el grupo de investigación Noruego SINTEF (Stiftelsen for industriell og
teknisk forskning). Proporciona un lenguaje personalizado para el modelado de
amenazas y riesgos, y cuenta con pautas detalladas que indican cómo se debe usar
el lenguaje para obtener y modelar la información relevante durante las diversas
etapas del análisis de seguridad. CORAS utiliza un lenguaje gráfico basado en UML
(Unified Modelling Language) para la definición de los modelos (activos, amenazas,
riesgos y salvaguardas), y guías para su utilización a lo largo del proceso. El lenguaje
se ha definido como un perfil UML. El método CORAS proporciona una herramienta
informática diseñada para apoyar la documentación, el mantenimiento y la
presentación de informes de los resultados del análisis a través de la modelización
© Universidad Internacional de La Rioja (UNIR)
de riesgos.
Se compone de 7 pasos esenciales para su aplicación, basada en la elaboración de
modelos con un lenguaje UML y biblioteca de casos para ser reutilizados.

Actividades 1
 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el Software
Nombre:

1. Presentación: Reunión inicial, para presentar los objetivos y el alcance del

análisis y recabar información inicial.
2. Análisis de alto nivel: Entrevistas para verificar la comprensión de la
información obtenida y la documentación analizada. Se identifican
amenazas, vulnerabilidades, escenarios e incidentes.
3. Aprobación: Descripción detallada de los objetivos, alcance y
consideraciones, para su aprobación por parte del destinatario del análisis
de riesgos.
4. Identificación de riesgos: Identificación detallada de amenazas,
vulnerabilidades, escenarios e incidentes.
5. Estimación de riesgo: Estimación de probabilidades e impactos de los
incidentes identificados en el paso anterior.
6. Evaluación de riesgo: Emisión del informe de riesgos, para su ajuste fino y
correcciones.
7. Tratamiento del riesgo: Identificación de las salvaguardas necesarias, y
realización de análisis coste/beneficio.
CIGITAL's architectural risk analysis process
Metodología desarrollada teniendo en cuenta tres aspectos:
▸ Análisis de resistencia de ataque: definición de cómo comportarse ante un
ataque.
▸ Análisis de ambigüedad: define los nuevos tipos de ataques o riesgos,
depende de la experiencia y lecciones aprendidas.
▸ Análisis de debilidad: etapa en donde se comprende su entorno y efectos de
tener elementos externos
Durante cada una de estas fases, el impacto empresarial es aquel que guía para el
© Universidad Internacional de La Rioja (UNIR)
análisis de riesgos. El proceso de análisis de riesgos arquitectónicos incluye
evaluación e identificación de riesgos y la recomendación de medidas de para la
mitigación de los mismos específicamente relacionados con la arquitectura de
software.

Actividades 2
 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el Software
Nombre:

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation). SEI

de la Universidad Carnegie Mellon.
OCTAVE fue concebido inicialmente por el Instituto de Ingeniería de Software de la
Universidad Carnegie Mellon para ayudar al Departamento de Defensa de los
Estados Unidos (DoD) a abordar sus riesgos y desafíos de seguridad.
El núcleo principal de OCTAVE son un conjunto de criterios (atributos, principios, y
resultados) a partir de los cuales se pueden desarrollar varias metodologías.
Cuenta con dos objetivos específicos que son:
▸ Desmitificar la falsa creencia, que la seguridad Informática es un asunto
completamente técnico.
▸ Presentar los principios básicos y la estructura de las mejores prácticas
internacionales que guían los asuntos no técnicos.
Se divide los activos en dos tipos que son:
▸ Sistemas, (Hardware. Software y Datos)
© Universidad Internacional ▸
de LaPersonas
Rioja (UNIR)

Las fases del proceso OCTAVE pueden resumirse en el siguiente gráfico:

Actividades 3
 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el Software
Nombre:

PTA Technologies Calculative Threat Modeling Methodology (CTMM)

La metodología de la empresa Practical Threat Analisys (PTA) Technologies,

nombrada CTMM (Calculative Threat Modeling Methodology), plantea que antes de
comenzar el proceso de modelado, el analista debe familiarizarse con la aplicación.
Resultando particularmente útil recopilar la siguiente documentación con el fin de
que nos sirva de ayuda en el momento de decidir si se aplican o no los distintos
escenarios del sistema que vamos a modelar:
▸ Descripción funcional del sistema donde se incluyan casos de uso típicos.
▸ Diagrama de la arquitectura Del sistema y documentación de los distintos
módulos.
▸ Un diccionario de términos, donde se expliquen los distintos vocablos
utilizados en los restantes documentos.
Esta metodología se compone de cuatro etapas:
▸ Identificación de los activos
▸ Identificación de las vulnerabilidades
▸ Definición de contramedidas
▸ Creación de escenarios de amenazas y planes de mitigación.
Orientación de la metodología PTA
© Universidad Internacional de La Rioja (UNIR)
Se plantea que antes de comenzar el proceso de modelado, el analista debe
familiarizarse con la aplicación y de esta manera obtener información relevante.

Actividades 4
 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el Software
Nombre:

Trike. Metodología de evaluación de amenazas.

El objetivo de la herramienta Trike es automatizar las partes repetitivas de
modelado de amenazas, por lo que todo lo que el analista tiene que hacer es
analizar el sistema.
Trike es un framework de modelado de amenazas con similitudes al proceso de
modelo de amenazas de Microsoft, sin embargo, se diferencia utilizando un
enfoque basado en el riesgo con implementación, modelos de amenaza y riesgo
distintos, en vez de utilizar un modelo de amenaza mixto (ataques, amenazas y
debilidades) como se representan por STRIDE / DREAD.
Actores:
▸ Personas que interactúan directamente con el sistema.
No son actores:
▸ Programas
▸ Programadores
▸ Administradores de Red
▸ Diagram de flujos de datos .

Orientación de la metodología Trike,

Modelo que utiliza un enfoque basado en el riesgo con implementación, modelos
© Universidad Internacional de La Rioja (UNIR)
de amenaza y riesgo distintos, en vez de utilizar un modelo de amenaza
mixto (ataques, amenazas y debilidades).
TAM (Microsoft Threat Analysis and Modeling).

Actividades 5
 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el Software
Nombre:

Esta herramienta de Microsoft utiliza una técnica muy conocida para el modelado
de amenazas usualmente utilizada para revelar las debilidades de seguridad de un
sistema de software. A su vez, las debilidades descubiertas son muy importantes,
debido a que son estas las que definen los requisitos de seguridad.
Muchas metodologías de modelado de amenazas no son fácilmente adaptables, ya
sea porque requieren una experiencia razonable en la materia de seguridad de la
información o porque no se centran en aplicaciones típicas en entornos
empresariales. Microsoft ha desarrollado y refinado su proceso de modelado de
amenazas hasta el punto de que se requiere una experiencia mínima en temas de
seguridad para producir un modelo de amenazas rico en funciones.
La figura de abajo muestra el modelo TAM (Microsoft threat analysis and modeling)

Orientación de la metodología TM
Modelado de amenazas usualmente utilizada para revelar las debilidades de
seguridad de un sistema de software

PASTA (Process for Attack Simulation and Threat Analysis).

P ROCESS
A TTACK
© Universidad Internacional de La Rioja (UNIR) S SIMULATI
ON
T HREAT
A NALYSIS
PASTA es el proceso para la simulación de ataques y el análisis de amenazas, es una
metodología de modelado de amenazas basada en el riesgo destinado a identificar

Actividades 6
 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el Software
Nombre:

patrones de amenazas un entorno del sistema o una aplicación. Diseñado con la

idea de contar con patrones probables de ataque y obteniendo casos de uso de
alto impacto, este enfoque se integra extremadamente bien en un proceso de
gestión de riesgos. Descubra cómo un enfoque más integrado para el modelado de
amenazas, basado en el análisis de riesgos, puede ayudar a los desarrolladores,
arquitectos, profesionales de seguridad y gestores de riesgos a entender lo que
está en juego.
Los pasos en esta metodología son:
1) Definición del objetivo de negocio.
2) Definición del contexto tecnológico.
3) Desglose de aplicaciones.
4) Análisis de amenazas.
5) Evaluación de vulnerabilidades.
6) Enumeración de ataques.
7) Cálculo del riesgo residual.
PASTA Arboles de ataque, diagramas de flujo de datos,
Orientación de la metodología
Metodología de modelado de amenazas basada en el riesgo destinado a identificar
patrones de amenazas un entorno del sistema o una aplicación.
1. Comparación de las metodologías anteriormente indicadas. Al menos se deberá
cubrir los siguientes puntos de comparación, aunque se valorará la inclusión de
nuevos puntos:
• Tipo de modelado.

• Herramientas.
• Necesidad de cocimiento interno.
© Universidad Internacional de La Rioja (UNIR)
• Orientación de la metodología.
2. Propuesta de una nueva metodología de amenazas. Se requiere una descripción
resumida y sus principales fases.
3. Conclusiones.

Actividades 7
 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el Software
Nombre:

El alumnado presentará una memoria con los resultados pedidos en este

documento.

© Universidad Internacional de La Rioja (UNIR)

Actividades 8
 Asignatura Datos del alumno Fecha
Apellidos:
Seguridad en el Software
Nombre:

Rúbrica

Puntuación
Metodologías de Peso
Descripción máxima
modelado de amenazas %
(puntos)
Introducción al modelado de
Criterio 1 1 10 %
amenazas.
Criterio 2 Estudio de metodologías existentes. 2 20 %

Criterio 3 Comparación de las metodologías. 3 30 %

Propuesta de una nueva metodología

Criterio 4 3 30 %
de amenazas.

Criterio 5 Conclusiones. 1 10 %

10 100 %

TM = diagrama de flujo de datos

PASTA Arboles de ataque, diagramas de flujo de datos, Kill Chain(cadena

de exterminio)

© Universidad Internacional de La Rioja (UNIR)

Actividades 9