Anlisis de modelo de

amenazas
El anlisis de modelo de amenazas (TMA) es un anlisis que ayuda a
determinar los riesgos de seguridad que pueden acaecer en un producto,
aplicacin, red o entorno, as como la forma en la que se aparecen los ataques.
El objetivo consiste en determinar cules son las amenazas que requieren
mitigacin y los modos de hacerlo.
Esta seccin proporciona informacin de alto nivel acerca del proceso TMA.
Para obtener ms informacin, vea el Captulo 4 de Writing Secure Code,
segunda edicin, escrito por Michael Howard y David LeBlanc.
Algunas de las ventajas de un TMA son:

Facilita la comprensin de la aplicacin.

Ayuda a detectar errores

Puede ayudar a los miembros del nuevo equipo a entender la aplicacin

con mayor profundidad.

Contiene informacin importante para otros equipos que trabajan en su

aplicacin.

Resulta de utilidad para los evaluadores.

Los pasos de nivel alto para llevar a cabo un TMA son los siguientes:

Paso 1: Recopilar informacin bsica

Paso 2. Crear y analizar el modelo de amenazas

Paso 3. Analizar las amenazas

Paso 4. Identificar las tcnicas y tecnologas de mitigacin

Paso 5. Documentar el modelo de seguridad y las consideraciones de

implementacin

Paso 6. Implementar y probar las mitigaciones

Paso 7. Mantener el modelo de amenazas sincronizado con el diseo

Paso 1: Recopilar informacin bsica

Para preparar un TMA correcto, debe recopilar informacin bsica. Resulta de
utilidad analizar el entorno de destino (una aplicacin, un programa o la
infraestructura completa) de la manera siguiente:

Identificar escenarios de casos de uso. En cada escenario de caso de uso

de su entorno de destino, identifique cmo espera que su empresa
utilice el entorno de destino, as como las limitaciones y restricciones del
entorno de destino. Esta informacin ayuda a definir el mbito de
discusin del modelo de amenazas, y proporciona los indicadores a los
activos (cualquier elemento de valor de la empresa, como, por ejemplo,
la informacin y los equipos) y los puntos de entrada.

Crear un diagrama de flujo de datos (DFD) para cada escenario.

Asegrese de que profundiza lo suficiente para entender las amenazas.

Determinar los lmites y el mbito del entorno de destino.

Comprender los lmites entre los componentes que son de confianza y

los que no lo son.

Comprender el modelo de administracin y configuracin de cada

componente.

Crear una lista de dependencias externas.

Crear una lista de supuestos acerca de los componentes de los que

depende cada componente. Esto ayuda a validar los elementos de
seguimiento, los elementos de accin y los supuestos derivados de
varios componentes con otros equipos.

Paso 2. Crear y analizar el modelo de

amenazas
Despus de recopilar la informacin bsica, debe concertar una o varias
reuniones sobre el modelo de amenazas. Asegrese de que a dicha reunin
asiste, al menos, un miembro de cada disciplina de desarrollo, como, por
ejemplo, los administradores de programa, programadores y evaluadores.
Procure tambin recordar a los asistentes que el objetivo de la reunin se
encuentra en detectar amenazas, no en solucionarlas. Durante la reunin sobre
el modelo de amenazas, lleve a cabo las siguientes acciones:

Examine el DFD en cada caso de uso. En cada uno de estos casos,

identifique los elementos siguientes:
o

Puntos de entrada

Lmites de confianza

Flujo de datos desde el punto de entrada hasta su ltima

ubicacin (y al contrario)

Anote los activos implicados.

Aborde cada DFD y busque las amenazas en las categoras siguientes de

todas las entradas del DFD: Spoofing identity (suplantacin de
identidad) Tampering with data (manipulacin de datos), Repudiation
(rechazo), Information disclosure (revelacin de la informacin), Denial
of service (denegacin del servicio) y Elevation of priviledges (elevacin
de privilegios).

Utilice la lista de comprobacin sobre revisin de arquitectura y diseo

para asegurarse de que estn cubiertas todas las categoras de
amenazas. Para obtener ms informacin acerca de la revisin de
arquitectura y diseo, vea "Security Architecture and Design Review
Index" (ndice de revisin de diseo y arquitectura de seguridad),
en http://go.microsoft.com/fwlink/?LinkId=62590.

Cree una lista de amenazas identificadas. Le recomendamos que esta

lista incluya lo siguiente: ttulo, descripcin breve (incluyendo los rboles
de amenazas), activo (activo), impactos, riesgo, tcnicas de mitigacin,
estado de mitigacin y nmero de error.

Nota

Puede agregar las categoras de riesgo, tcnicas de mitigacin y estado de mitigacin al revisar las am
reunin sobre el modelo de amenazas.

Paso 3. Analizar las amenazas

Una vez identificadas las amenazas del entorno, debe valorar el riesgo de cada
una de ellas y determinar cmo va a actuar ante ellas. Para ello puede

convocar nuevas reuniones o utilizar el correo electrnico. Puede utilizar las

categoras de efectos siguientes para calcular la exposicin a los
riesgos: Damage potential (posibilidad del dao),Reproducibility (posibilidad de
reproducir la amenaza), Exploitability (posibilidad de que se
aproveche), Affected users (usuarios afectados) y Discoverability (posibilidad
de descubrirla).
Cuando disponga de una lista de las amenazas que ponen en peligro su
entorno de destino en funcin del riesgo, debe determinar cmo actuar ante
cada una. Su respuesta puede ser no hacer nada (aunque sta no suele ser una
buena opcin), advertir a los usuarios del posible problema o eliminar el
problema o solucionarlo.

Paso 4. Identificar las tcnicas y tecnologas

de mitigacin
Despus de identificar las amenazas que se van a solucionar, debe determinar
las tcnicas de mitigacin disponibles para cada amenaza, as como la
tecnologa ms adecuada para reducir su efecto.
Por ejemplo, en funcin de los detalles del entorno de destino, es posible
reducir el efecto de las amenazas de alteracin de datos con tcnicas de
autorizacin. A continuacin, debe determinar la tecnologa de autorizacin
ms adecuada, como, por ejemplo, las listas de control de acceso discrecional
(DACL), los permisos o las restricciones IP.

Importante

Al evaluar las tecnologas y tcnicas de mitigacin que se van a utilizar, debe tener en cuenta los fundamento
eleccin de tcnicas de mitigacin determinadas.
Una vez que ha completado el TMA, realice las siguientes opciones:

Documentar el modelo de seguridad y las consideraciones de

implementacin

Implementar y probar las mitigaciones

Mantener el modelo de amenazas sincronizado con el diseo

Paso 5. Documentar el modelo de seguridad

y las consideraciones de implementacin

Resulta de gran valor documentar todo aquello que se descubre durante el TMA
y la forma en que se decide reducir el efecto de las amenazas de su entorno de
destino. Esta documentacin puede ser de gran ayuda en los controles de
calidad (QA), pruebas y soportes, as como para el personal de operaciones.
Incluya informacin sobre las aplicaciones que interactan o funcionan con el
entorno de destino, as como los requisitos y recomendaciones de topologas y
firewalls.

Paso 6. Implementar y probar las

mitigaciones
Cuando el equipo est preparado para solucionar las amenazas que se han
identificado durante el TMA, asegrese de que utiliza listas de comprobacin de
implementacin y desarrollo. Gracias a ellas podr seguir las normativas de
implementacin y cdigo seguro que le ayudarn a minimizar la entrada de
nuevas amenazas.
Tras implementar una mitigacin, prubela para asegurarse de que proporciona
el nivel de proteccin adecuado para la amenaza.

Paso 7. Mantener el modelo de amenazas

sincronizado con el diseo
A medida que agrega aplicaciones nuevas, servidores y otros elementos a su
entorno, asegrese de que revisa los hallazgos del anlisis de modelo de
amenazas y de que realiza otros anlisis para obtener nuevas funciones.