De la investigación básica a la práctica: Modelado de amenazas @ Hornetsecurity

De la investigación básica a la práctica: Modelado de amenazas @ Hornetsecurity

¿Qué pruebas de seguridad se pueden utilizar de forma totalmente automatizada para detectar las amenazas con mayor rapidez y rapidez? Estas fueron las preguntas que se plantearon en la tesis de maestría de nuestro empleado Jan Bartkowski. Nos gustaría presentar el tema en detalle en este artículo de blog y explicar por qué los proyectos de los estudiantes Hornetsecurity avanzan aún más.

Modelado de Amenazas: ¿Cómo surgió este proyecto?

Hornetsecurity News


Manténgase informado

Suscríbase a Hornetsecurity News para recibir la información más reciente del área Cloud Security.

En el momento en que Jan se enteró de Hornetsecurity, era un estudiante de maestría en informática y estaba buscando una tesis en el área de seguridad de TI de una empresa. Al mismo tiempo, Hornetsecurity estaba, y sigue estando, abierto a proyectos emocionantes con estudiantes que trabajan en el área de seguridad de TI.

Las estadísticas actuales muestran que las amenazas para los usuarios de Internet están aumentando. La atención de los medios de comunicación también ha aumentado en el pasado reciente. Se habla con frecuencia de ciberataques, en los que se ha robado una gran cantidad de datos sensibles y se han producido grandes daños financieros. Según un estudio de la empresa de seguridad estadounidense Norton de Symantec, el 38% de todos los usuarios alemanes de Internet serán víctimas de la ciberdelincuencia en 2017. El resultado fue una pérdida de 2.200 millones de euros. La dificultad es que las amenazas no son en absoluto las mismas, pero los delincuentes están desarrollando métodos cada vez más pérfidos para atacar las aplicaciones.

En este contexto, la idea nació en ambos lados: El filtro spam debe ser analizado para detectar amenazas potenciales utilizando un enfoque sistemático y pruebas automáticas, fortaleciendo así la seguridad contra ataques contra sí mismo. De particular importancia aquí es la aplicación de métodos estructurados como el modelado de amenazas, que fue especialmente desarrollado para el análisis de software con el fin de detectar amenazas de forma temprana y sistemática.

Pero, ¿cómo proceder con una tarea tan compleja?

Para crear un análisis de amenazas, primero era necesario documentar el flujo de información en el filtro de spam. Para visualizarlo se utilizaron diagramas de flujo de datos. Los diagramas de flujo de datos son un tipo de diagrama utilizado en la arquitectura de software que se centra en el flujo de datos entre procesos, almacenes de datos y actores externos. Desde el punto de vista de la seguridad, este tipo de diagrama es ideal para el modelado de amenazas, ya que la transferencia de datos siempre puede ser el objetivo de un ataque.

Con la modelización del filtro de spam en los diagramas de flujo de datos, se sentaron las bases para un análisis más profundo: Basándose en estos diagramas de flujo de datos, ahora se puede aplicar una técnica llamada “STRIDE per Element”. STRIDE per Element fue desarrollado por Microsoft y publicado en la literatura científica, en particular por Adam Shostack en libros y artículos como “Threat Modeling, Designing for Security”. Threat Modeling describe un proceso estructurado y un marco para un modelado y análisis ordenado del software. El procedimiento fijo garantiza que el procedimiento sea lo más reproducible posible y que las amenazas más importantes se consideren de la forma más completa posible.

Microsoft considera las categorías de amenazas STRIDE como parte de dicho modelado de amenazas. “STRIDE” es un acrónimo en el que cada letra representa una categoría de amenazas comunes:

  • S = Spoofing Identity
  • T = Tampering with data
  • R = Repudiation
  • I = Information Disclosure
  • D = Denial of Service
  • E = Elevation of Privilege

En STRIDE por Elemento, estas amenazas se aplican ahora a cada elemento en los diagramas de flujo de datos del sistema a analizar. Sin embargo, no todas las categorías deben aplicarse a todos los tipos de elementos. Por ejemplo, un flujo de datos no puede especificar una identidad falsa si no tiene identidad propia.

En la tesis de maestría de Jan se utilizó STRIDE por elemento para el diagrama de flujo de datos de nuestro panel de control HTML. Esto resultó en una lista de amenazas teóricas, todas las cuales fueron analizadas más a fondo. Además de recopilar formas de llevar a cabo un ataque práctico para una amenaza teórica de este tipo, todas las amenazas también se evaluaron en términos de su complejidad y protección contra los ataques. A partir de las evaluaciones, se puede calcular un riesgo de las amenazas individuales que refleja el peligro identificado de una amenaza.

Tras el análisis de riesgos, se realizaron pruebas de seguridad automatizadas sobre algunas de las amenazas potenciales encontradas. Estas pruebas están destinadas a automatizar las pruebas manuales de varios ataques contra nuestro panel de control y así asegurar más rápido, más consistente y sobre todo más pruebas de seguridad. Estas pruebas de seguridad complementan de forma óptima las pruebas automatizadas de funcionamiento e integración en esta área.

Desde un punto de vista científico, también es interesante ver hasta qué punto se pueden poner a prueba esas amenazas teóricamente identificadas. Las pruebas se componían en parte de marcos de seguridad disponibles al público y en parte desarrollados internamente.

Ambas partes pueden sacar una conclusión positiva del proyecto. El procedimiento descrito fue muy útil porque las amenazas potenciales podían hacerse explícitamente visibles. Además, las pruebas desarrolladas pueden reutilizarse en el futuro y los errores pueden detectarse a tiempo, ya en la fase de desarrollo y prueba.

Se buscan estudiantes trabajadores con ideas de seguridad en Hornetsecurity

Hornetsecurity se complace en darle la bienvenida a Jan como miembro permanente del personal después de la finalización exitosa del proyecto. Hornetsecurity continúa ofreciendo tesis en el campo de la seguridad de TI y está satisfecho con los estudiantes motivados.

Si está interesado en contribuir y poner en práctica sus ideas y experiencia inicial en el contexto de una actividad laboral de estudiante o una tesis final, por favor no dude en ponerse en contacto con nosotros y enviarnos una solicitud no solicitada. Te ofrecemos un gran ambiente de trabajo y te apoyamos en la búsqueda de un tema y en la realización de tu tesis.

Más información: