Krypton Solid

La última tecnología en raciones de 5 minutos

Por qué los desarrolladores deberían considerar el modelado de amenazas automatizado

Exitoso modelado de amenazas determina las vulnerabilidades de seguridad de un sistema, lo que permite la posibilidad de corregirlas. Sin embargo, cuando se trata de aplicaciones y código de modelado de amenazas, muchos desarrolladores se quedan cortos, y los desarrolladores no están seguros de los términos de seguridad y las vulnerabilidades, así como de cómo realizar exactamente el modelado de amenazas. Esto crea una desconexión entre los equipos de desarrollo y seguridad, y deja los sistemas vulnerables a los actores malintencionados.

Para ayudar a romper los silos entre los equipos, escribieron Izar Tarandach, ingeniero de seguridad principal de Squarespace, y Matthew J. Coles, ingeniero de seguridad de producto principal sénior en Dell Technologies Modelado de amenazas: una guía práctica para equipos de desarrollo, publicado por O’Reilly. En el libro, los autores analizar el modelado de amenazas en un lenguaje sencillo que cualquiera pueda entender. Armados con sus conocimientos, los desarrolladores, evaluadores y profesionales de DevSecOps involucrados en el proceso de desarrollo aprenderán cómo revisar la seguridad del sistema y cómo descubrir posibles problemas de aplicación y código antes de salir al mercado.

Debido a que no todas las empresas tienen el presupuesto necesario para el modelado de amenazas, la automatización debe entrar en juego. En este extracto del Capítulo 4 de Modelado de amenazas, lea sobre los beneficios del modelado de amenazas automatizado y conozca dos metodologías de modelado de amenazas automatizadas.

El modelado de amenazas no es una operación estática: los sistemas evolucionan en complejidad con el tiempo. Descubra cómo el modelado de amenazas automatizado puede ayudar a mantener actualizado un modelo de sistema más fácilmente para todos los involucrados.

Consulte la entrevista vinculada aquí en la que Tarandach y Coles discuten por qué escribieron un libro sobre modelado de amenazas para desarrolladores después de encontrar que la mayoría de los libros disponibles están dirigidos a profesionales de la seguridad, que ya comprenden los conceptos básicos que los desarrolladores pueden no entender.

¿Por qué automatizar el modelado de amenazas?

Seamos realistas: el modelado de amenazas de la forma tradicional es difícil, por muchas razones:

Imagen de portada de 'Modelado de amenazas: una guía práctica para equipos de desarrollo'clic aquí para saber más

sobre
Modelado de amenazas:
Una guía práctica para
Equipos de desarrollo


por Izar Tarandach y

Matthew J. Coles.
  • Se necesitan talentos poco comunes y altamente especializados: para hacer bien el modelado de amenazas, es necesario identificar las debilidades de un sistema. Esto requiere capacitación (como leer este u otros manuales básicos sobre modelado de amenazas) y una buena dosis de pesimismo y pensamiento crítico cuando se trata de qué es y qué podría ser (y cómo podrían salir mal las cosas).
  • Hay mucho por saber, y eso requerirá amplios y profundos conocimientos y experiencias. A medida que su sistema crece en complejidad o se introducen cambios (como la transformación digital por la que están pasando muchas empresas en estos días), los cambios en las tecnologías traen consigo un número acelerado de debilidades: se identifican nuevas debilidades y amenazas, y se crean nuevos vectores de ataque; el personal de seguridad debe estar en constante aprendizaje.
  • Hay una gran variedad de opciones para elegir. Esto incluye herramientas y metodologías para realizar modelos y análisis de amenazas, como representaciones modeladas, y cómo registrar, mitigar o gestionar los hallazgos.
  • Puede resultar difícil convencer a las partes interesadas de que el modelado de amenazas es importante, en parte debido a lo siguiente:
    • Todos están ocupados (como se mencionó anteriormente).
    • No todos los integrantes del equipo de desarrollo entienden el sistema según lo especificado y / o diseñado. Lo que está diseñado no es necesariamente lo que estaba en la especificación, y lo que está implementado puede que tampoco coincida. Encontrar a las personas adecuadas que puedan describir correctamente el estado actual del sistema bajo análisis puede ser un desafío.
    • No todos los arquitectos y codificadores tienen una comprensión completa de en qué están trabajando; excepto en equipos pequeños y altamente funcionales, no todos los miembros del equipo tendrán conocimiento cruzado de las áreas de los demás. A esto lo llamamos la metodología de desarrollo de los Tres ciegos y el elefante.
    • Algunos miembros del equipo (con suerte, solo un pequeño número) tienen intenciones menos que perfectas, lo que significa que pueden estar a la defensiva o proporcionar declaraciones intencionalmente engañosas).
  • Si bien es posible que pueda leer el código, eso no le muestra la imagen completa. Si tiene código para leer, es posible que haya perdido la oportunidad de evitar errores potencialmente graves introducidos por el diseño que la codificación no puede mitigar. Y a veces puede ser difícil derivar el diseño superpuesto solo a partir del código.
  • Crear un modelo de sistema requiere tiempo y esfuerzo. Y dado que nada es estático, mantener un modelo de sistema lleva tiempo. El diseño de un sistema cambiará a medida que los requisitos del sistema se modifiquen en respuesta a la implementación, y debe mantener el modelo del sistema sincronizado con cualquier cambio.

Estas son algunas de las razones por las que algunos miembros de la comunidad de seguridad desde hace mucho tiempo han expresado su preocupación sobre el uso práctico del modelado de amenazas como una actividad defensiva durante el ciclo de vida del desarrollo. Y para ser honesto, estas razones son un desafío.

¡Pero no temas! La comunidad de seguridad es un grupo resistente que nunca se avergüenza de asumir un desafío para abordar un problema del mundo real, especialmente aquellos problemas que le causan dolor, angustia y noches de insomnio. Y la automatización puede ayudar a abordar estas preocupaciones (consulte la Figura 4-1).

Imagen de 'Modelado de amenazas: una guía práctica para equipos de desarrollo'
Figura 4-1. ‘Script de shell muy pequeño’ (fuente: https://oreil.ly/W0Lqo)

La parte difícil de utilizar la automatización es la complejidad de los sistemas y la relativa incapacidad de un programa para hacer algo que el cerebro humano puede hacer mejor: el reconocimiento de patrones. La dificultad es expresar el sistema de una manera que una computadora pueda entender sin realmente creando el sistema. Como resultado, hay dos enfoques relacionados disponibles:

Modelado de amenazas a partir del código

Crear código de computadora en un lenguaje de programación o en un lenguaje específico de dominio (DSL) recién definido que da como resultado, cuando se ejecuta, el análisis de las amenazas que se realizan en un modelo que representa los datos de entrada proporcionados.

Modelado de amenazas con código (también conocido como modelado de amenazas en código)

Usar un programa de computadora para interpretar y procesar la información que se le proporciona para identificar amenazas o vulnerabilidades.

Ambos enfoques pueden ser efectivos siempre que resuelva el problema GIGO. Los resultados que obtenga deben tener una relación directa con la calidad de su entrada (la descripción del sistema y sus atributos) para la automatización. Ambos métodos también requieren que los algoritmos y las reglas utilizados en el análisis sean «correctos», de modo que un determinado conjunto de entradas genere salidas válidas y justificables. Cualquiera de las implementaciones puede eliminar la necesidad de talento especializado para interpretar un modelo de sistema y comprender la información sobre elementos, interconexiones y datos para identificar los indicadores de un posible problema de seguridad. Por supuesto, esto requiere que el marco o lenguaje soporte este análisis y esté programado para hacerlo correctamente.

Primero hablaremos sobre la construcción de un modelo de sistema en un formato legible por máquina, y luego presentaremos las teorías para cada tipo de modelado de amenazas automatizado y proporcionaremos proyectos comerciales y de código abierto que los implementen. Más adelante en el capítulo (y en el capítulo siguiente), aprovechamos estos conceptos para brindar información sobre técnicas de modelado de amenazas evolutivas adicionales que se esfuerzan por funcionar dentro del mundo en rápida aceleración de DevOps y CI / CD. Básicamente, el modelado de amenazas se basa en la entrada en forma de información que contiene o codifica datos suficientes para que usted los analice; esta información le permite identificar amenazas. Cuando se utiliza código en lugar de inteligencia humana para realizar el modelado de amenazas, se describe el sistema que se evaluará (por ejemplo, las entidades, los flujos o las secuencias de eventos que componen un sistema, junto con los metadatos necesarios para respaldar el análisis y la documentación de los hallazgos). , y la aplicación renderiza y analiza la representación del sistema para producir resultados y, opcionalmente, renderiza la representación como diagramas.

Deja un comentario

También te puede interesar...

Cómo acortar Ethereum

Los fanáticos de Ethereum, la cadena de bloques habilitada para contratos inteligentes, han visto caer el valor de su criptomoneda doméstica, Ether (ETH) en más del 25 %, de alrededor de $11 a alrededor de

Conozca la definición de su cliente (KYC).

¿Qué es Conozca a su cliente (KYC)? Conozca a su cliente o Conozca a su cliente es un estándar de la industria que garantiza que los asesores de inversión conozcan información detallada sobre la tolerancia

USR alinea los primeros módems de 56 Kbps

La noticia de la especificación de 56 Kbps de Rockwell salió a la luz a mediados de septiembre, y varios proveedores clave de módems, incluidos Hayes y Boca Research, dijeron que apoyarían la tecnología y

Revisión de visa asegurada de Merrick Bank

Revisión completa de la visa garantizada de Merrick Bank Pro Límite de crédito hasta $ 3.000 La cuenta puede calificar para el aumento de la línea de crédito Informes a las principales agencias de crédito

¿Cómo se tratan los costos de absorción GAAP?

De acuerdo con los principios de contabilidad generalmente aceptados (GAAP), los costos de absorción son necesarios para la presentación de informes externos. El costo de absorción es un método de contabilidad que captura todos los

Adolescente se pregunta si dejamos «un niño de TI»

De la boca de los bebés o, de hecho, de los adolescentes, la verdad parece menos filtrada. Estaba escribiendo un artículo de opinión sobre un tema totalmente diferente (talento tecnológico) cuando lo leí. este ensayo

Caja de graznido

¿Qué es una caja de graznidos? Una caja de graznido es un término que se usa para un altavoz de intercomunicador que los analistas o comerciantes en una firma de corretaje usan en oficinas u

Trujillo rechaza guerra de precios de 3G

El presidente ejecutivo de Telstra, Sol Trujillo, dijo hoy que las reducciones de precios de los competidores en los servicios móviles de tercera generación son irrelevantes para su empresa. «No hay empresa en Australia que

St George está probando los pagos móviles

St George está utilizando su posición en el gran grupo Westpac para probar una variedad de tecnologías de pago móvil sin contacto, reveló hoy el banco. Hablando a Krypton Solid Australia Sobre el lanzamiento de

Definición del ciclo de vida

¿Qué es un ciclo de vida? Un ciclo de vida es un curso de eventos que da vida a un nuevo producto y tiene como objetivo convertirlo en un producto maduro y posiblemente en una

Tecnología a seguir en 2002

COMENTARIO – La tentación de recordar el año pasado con amor y nostalgia es grande. Pero me resistiré y lo esperaré. Sin duda, 2001 fue un gran año para la tecnología. La lista de cosas

Cómo publicar dos fotos en línea

Debes publicar dos fotos en línea para crear una. collages muy simple. Piensa, por ejemplo, en colocar dos fotos una al lado de la otra sobre un fondo de color y luego compartir el pequeño

Chromebook Samsung Serie 5 | Krypton Solid

Samsung está, en muchos sentidos, muy por delante de la curva con el Chromebook Serie 5. Aunque parece un portátil estándar de formato pequeño, no sucede mucho bajo el capó. Sin una conexión a Internet,

El arte de hacer preguntas abiertas

Cuando califica, aporta valor a su potencial, a los clientes y a usted mismo a través de las preguntas que hace, pero solo si son buenas preguntas. Permítanme presentarles un concepto que llamo «preguntas de