Embed Size (px)
Citation preview
PONENCIA :
MODELADO DE
AMENAZAS
Nelson Boris Murillo Prieto
(…o como identificar riesgos
aún no existentes)
Análisis de Requerimient
osDiseño
Implementación
Verificación Entrega
Descomponer la aplicación
Determinar los riesgos
Clasificar las amenazas
Mitigación
28/07/2013
• Suplantación del proceso o usuario típico en ataques de Phishing o robo de credencialesSpoofing
• Modificación de datos o procesos, típico en infecciones de malware o ataques de inyección Tampering
• Repudio, no es posible verificar o demostrar las acciones realizadas.Repudiation
• Fuga de información, se presentan datos confidenciales
Informationdisclosure
• Denegación de Servicio, debido a una configuración insuficienteDenial of Service
• Elevación de privilegios, por ejemplo en el acceso a nivel de S.O.
Elevation of privileges
ELEMENTO S T R I D E
OK OK
OK OK OK OK OK OK
OK?
OK OK
OK OK OK
• Potencial de Daño, si una amenaza se concreta ¿Cuánto daño causaría?
DamagePotencial
• Reproductividad, ¿Qué tan sencillo es reproducir el ataque?Reproducibility
• Explotabilidad, ¿son necesarias muchas condiciones para realizar la acción?Explotability
• Usuarios afectados, ¿Cuántos usuarios serán afectados?Affected Users
• Descubrimiento, ¿Qué tan fácil es descubrir la amenaza?Discover
6
0
5
5
10
0
Spoofing
Tampering
Repudiation
Information Disclosure
Denial of Service
Elevation of privilege
Riesgo por tipo de amenaza
