Ejemplos de amenazas

Algunas amenazas no se pueden combatir simplemente utilizando técnicas de codificación segura, cuentas de privilegios mínimos u otras técnicas comunes de defensa. Los incendios, inundaciones o robos pueden producir daños irreparables en los datos si no existen copias de seguridad externas. Asimismo, un empleado de confianza podría dañar o destruir datos involuntaria o malintencionadamente. Para contrarrestar este tipo de amenazas, debe utilizar técnicas que se encuentren más allá del alcance del proceso de desarrollo de software, como, por ejemplo, asegurar la existencia de copias de seguridad externas, el seguimiento de las actividades de los empleados y tomar medidas legales o de otro tipo en casos de conducta inapropiada o robo.

Modelo de amenaza STRIDE

STRIDE es un acrónimo que representa el espectro de amenazas de seguridad que pueden afectar a la aplicación. Las seis categorías de amenazas detalladas a continuación pueden ayudarle a identificar los vectores de vulnerabilidades y posibles ataques en su propia aplicación.

Suplantación de identidad (Spoofing)

Suplantar quiere decir adoptar la personalidad de otra persona en un equipo. Un ejemplo de suplantación de identidad es el acceso ilegal a la información de autenticación de otro usuario y el posterior uso de la misma, como el nombre de usuario y la contraseña.

Manipular datos (Tampering)

La manipulación de datos implica la modificación malintencionada de éstos. Algunos ejemplos son la modificación no autorizada de datos persistentes, como los que se mantienen en una base de datos, o la modificación de datos durante su transferencia entre equipos en una red abierta como, por ejemplo, Internet.

Repudio (Repudiation)

Las amenazas de repudio son aquellas en las que los usuarios niegan la autoría de una acción sin que otras partes puedan probar lo contrario. Por ejemplo, un usuario realiza una operación ilegal en un sistema sin que exista la posibilidad de realizar un seguimiento de la misma.

De igual forma, el no rechazo se refiere a la posibilidad de un sistema de contrarrestar las amenazas de repudio. Por ejemplo, un usuario que adquiere un artículo tiene que firmar un recibo al entregarse dicho artículo. De esta forma, el proveedor puede utilizar el recibo firmado como prueba de la entrega del paquete.

Divulgación de información (Information Disclosure)

Las amenazas de divulgación de información suponen la revelación de información a individuos que no deben tener acceso a la misma. Por ejemplo, la posibilidad de que los usuarios lean un archivo al que no se les ha proporcionado acceso, o la posibilidad de un intruso de leer datos que se están transfiriendo entre dos equipos.

Denegación de servicio (Denial of service)

Los ataques por denegación de servicio (DoS) ocasionan la pérdida de servicio a los usuarios válidos, por ejemplo, deshabilitando temporalmente un servidor Web. Debe protegerse contra determinados tipos de amenazas DoS a fin de mejorar la disponibilidad y fiabilidad del sistema.

Elevación de privilegios (Elevation Of Privilge)

En este tipo de amenaza, un usuario sin privilegios obtiene acceso con privilegios y, por tanto, la capacidad de poner en peligro o destruir todo el sistema. Un tipo de amenaza de elevación de privilegios es la situación en la que un agresor burla todas las defensas del sistema con éxito y se integra en la parte del sistema de confianza.

Aplicar STRIDE

La forma más sencilla de aplicar el modelo STRIDE en la aplicación es analizar cómo afecta cada una de las amenazas del modelo a cada componente y a cada una de sus conexiones o relaciones con otros componentes de la aplicación. Fundamentalmente, se examinan las partes de la aplicación y se determina si alguna de las categorías de amenaza STRIDE puede afectar al correspondiente componente o proceso. El proceso debe ser repetitivo, como se describe a continuación:

1. Enumere todas las amenazas conocidas y determine cómo cada una de ellas puede afectar al sistema.

2. Clasifique las amenazas por gravedad o impacto (el daño que ese tipo de ataque podría causar) y probabilidad. Para gravedad, asigne un número entre 1 y 10, siendo 10 el nivel más grave. Para probabilidad, elija un número, donde 1 es el nivel más probable y 10 es el menos probable. Calcule el riesgo general dividiendo gravedad por probabilidad, es decir, Risk = Criticality/Likelihood.

3. Elija una técnica o tecnología adecuada para contrarrestar cada amenaza. Existen técnicas específicas para contrarrestar cada tipo de amenaza. Por ejemplo, para contrarrestar un ataque de elevación de privilegios es necesario ejecutar la aplicación con una cuenta con permisos restringidos. Entre las tecnologías y las técnicas utilizadas para contrarrestar la amenaza se incluyen instrucciones de uso de las utilidades de configuración del software o los servidores, almacenamiento correcto de la información de conexión y métodos seguros de recuperación de información de conexión en tiempo de ejecución.

4. Vuelva a empezar desde el paso 1 a medida que el proyecto evoluciona. Nunca se cuenta con todos los datos en la fase inicial de un proyecto, por lo que ejecutar el proceso una sola vez posiblemente deje la aplicación vulnerable ante los ataques.

En otras palabras, el proceso de outsoucing consiste en que una empresa contrata, a una agencia o empresa externa especializada, para hacer algo en lo que no se especializa. Un buen ejemplo es la nómina. Todo negocio tiene que manejarla, pero existen agencias especializadas que lo pueden hacer mejor y a un costo menor del que maneja un negocio cualquiera.

La empresa que contrata el servicio provee la información básica acerca de su personal, la agencia contratada se encarga de calcular los pagos y de hacer los cheques. Esto resulta más económico ya que se evita tener todo un departamento encargado de la nómina, pagar los salarios de la gente del departamento, correr con gastos como seguridad social, fondos de pensiones, etc.

Novaxus, empresa líder en el ramo de tecnologia de información y consultoría en desarrollo de software en Perú, se dedica a brindar soluciones integrales para corporaciones y empresas PYME que requieren outsourcing en esta área. Nuestra empresa se distingue por ofrecer la mejor atención a sus clientes y el más amplio conocimiento técnico en el desarrollo de infraestructura y servicios para sistemas de información y telecomunicaciones. Nuestro personal está compuesto por ingenieros especialistas preparados para el desarrollo efectivo de proyectos que se ajusten a las necesidades específicas de su negocio, manteniendo un enfoque integral para el desarrollo óptimo de su empresa.

La calidad de nuestros productos y servicio a nuestros clientes nos ha convertido en líderes en el ramo de outsourcing.

Estamos a su disposición para brindarle la atención personalizada que se merece. Contáctenos para obtener mayor información acerca de nuestros productos y servicios.