Los nuevos desarrollos ocurren todo el tiempo en las empresas de software ocupadas. Pero, ¿también está ocurriendo el desarrollo seguro?
Un proceso llamado modelado de amenazas lite (LTM) involucra a las partes interesadas en el desarrollo seguro, lo que garantiza que la seguridad esté integrada y no reforzada. ¿Qué es LTM y en qué se diferencia del modelo de amenazas tradicional?
El enfoque de modelado de amenazas Lite
LTM es un enfoque simplificado para identificar, evaluar y mitigar posibles amenazas y vulnerabilidades de seguridad en un sistema o aplicación. Es una versión simplificada de modelado tradicional de amenazas, que normalmente implica un análisis más completo y detallado de los riesgos de seguridad.
Con LTM, no estamos insertando pines manualmente en el sistema o la aplicación para ver si se rompe, como lo haríamos con las pruebas de penetración. Más bien, perforamos "agujeros teóricos" en la aplicación, descubriendo posibles vías de ataque y vulnerabilidades.
Aquí hay algunas preguntas para considerar hacer:
- ¿Quién querría atacar nuestros sistemas?
- ¿Qué componentes del sistema pueden ser atacados y cómo?
- ¿Qué es lo peor que podría pasar si alguien entra por la fuerza?
- ¿Qué impacto negativo tendría esto en nuestra empresa? ¿En nuestros clientes?
¿Cuándo se realizan los LTM?
Lo mejor es realizar un LTM cada vez que se lanza una nueva característica, se cambia un control de seguridad o se realiza cualquier cambio en la arquitectura o infraestructura del sistema existente.
Idealmente, los LTM se realizan después de la fase de diseño y antes implementación. Después de todo, es mucho, mucho más fácil corregir una vulnerabilidad antes de que se lance a producción. Para escalar los LTM en toda su organización, asegúrese de establecer procesos y estándares claros y consistentes. Esto puede implicar la definición de un conjunto común de categorías de amenazas, la identificación de fuentes comunes de amenazas y vulnerabilidades y el desarrollo de procedimientos estándar para evaluar y mitigar los riesgos.
Cómo realizar LTM en su organización
Para comenzar a realizar LTM dentro de su propia organización, primero haga que sus equipos de seguridad internos lideren sus conversaciones de LTM. A medida que sus equipos de ingeniería se familiaricen con el proceso, podrán comenzar a realizar sus propios modelos de amenazas.
Para escalar los LTM en toda su organización, asegúrese de establecer procesos y estándares claros y consistentes. Esto puede implicar la definición de un conjunto común de categorías de amenazas, la identificación de fuentes comunes de amenazas y vulnerabilidades y el desarrollo de procedimientos estándar para evaluar y mitigar los riesgos.
Errores comunes de LTM a evitar
La gente de seguridad es excelente para modelar amenazas: a menudo esperan lo peor y son lo suficientemente imaginativos como para idear casos extremos. Pero estas cualidades también los llevan a caer en trampas LTM, como:
- Centrarse demasiado en los valores atípicos. Esto ocurre durante un ejercicio de LTM cuando el foco de la conversación se desvía de las amenazas más realistas a sus valores atípicos. Para resolver esto, asegúrese de comprender a fondo su ecosistema. Use la información de su gestión de eventos e información de seguridad (SIEM) y otros sistemas de monitoreo de seguridad. Si tiene, digamos, 10,000 XNUMX ataques que golpean los puntos finales de su interfaz de programación de aplicaciones (API), por ejemplo, sabe que en eso se centran sus adversarios. Esto es en lo que también debe centrarse su LTM.
- Ser demasiado técnico. A menudo, una vez que se ha descubierto una vulnerabilidad teórica, los técnicos pasan al "modo de resolución de problemas". Terminan “resolviendo” el problema y hablando de implementación técnica en lugar de hablar del impacto que tiene la vulnerabilidad en la organización. Si encuentra que esto está sucediendo durante sus ejercicios de LTM, intente retroceder la conversación: dígale al equipo que no va a hablar sobre la implementación todavía. Habla a través del riesgo e impacto de antemano.
- Asumiendo que las herramientas manejan los riesgos por sí solas. Con frecuencia, los desarrolladores esperan que sus herramientas encuentren todos los problemas. Después de todo, la realidad es que un modelo de amenaza no está destinado a encontrar una vulnerabilidad específica. Más bien, está destinado a analizar el riesgo general del sistema, a nivel de arquitectura. De hecho, el diseño inseguro fue uno de los más recientes de OWASP. Los 10 principales riesgos de seguridad de las aplicaciones web. Necesita modelos de amenazas a nivel de arquitectura porque los problemas de seguridad de la arquitectura son los más difíciles de solucionar.
- Pasar por alto las amenazas y vulnerabilidades potenciales. El modelado de amenazas no es un ejercicio de una sola vez. Es importante reevaluar regularmente las posibles amenazas y vulnerabilidades para mantenerse a la vanguardia de los vectores de ataque y los actores de amenazas en constante cambio.
- No revisar las estrategias de implementación de alto nivel. Una vez que se han identificado las amenazas y vulnerabilidades potenciales, es importante implementar contramedidas efectivas para mitigarlas o eliminarlas. Esto puede incluir la implementación de controles técnicos, como validación de entrada, control de acceso o encriptación, así como controles no técnicos, como capacitación de empleados o políticas administrativas.
Conclusión
LTM es un enfoque simplificado para identificar, evaluar y mitigar posibles amenazas y vulnerabilidades de seguridad. Es extremadamente fácil de usar para los desarrolladores y obtiene código seguro en movimiento. hacer modelos de amenazas temprano en el ciclo de vida de desarrollo de software (SDLC). Mejor aún, un LTM puede ser realizado por los propios desarrolladores y arquitectos de software, en lugar de depender de los laboratorios para ejecutar el modelado de amenazas.
Al desarrollar e implementar LTM de manera consistente y efectiva, las organizaciones pueden identificar y abordar de manera rápida y efectiva los riesgos de seguridad más críticos, al tiempo que evitan las trampas y los errores comunes.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/vulnerabilities-threats/fast-track-secure-development-using-lite-threat-modeling
- 000
- 10
- 7
- a
- Nuestra Empresa
- de la máquina
- a través de
- dirección
- administrativo
- Después
- adelante
- Todos
- solo
- análisis
- y
- abejas
- applicación
- Aplicación
- seguridad de la aplicación
- enfoque
- arquitectónico
- arquitectura
- atacar
- ataques
- evitar
- Atrás
- porque
- antes
- MEJOR
- mejores
- rompe
- Rompió
- , que son
- cases
- categoría
- Cambios
- limpiar
- código
- Algunos
- Empresas
- compañía
- componentes
- exhaustivo
- Considerar
- consistente
- control
- controles
- Conversación
- conversaciones
- podría
- crítico
- Clientes
- definir
- Diseño
- detallado
- desarrolladores
- el desarrollo
- Desarrollo
- diferir de
- difícil
- descubierto CRISPR
- durante
- más fácil
- ecosistema
- Southern Implants
- Eficaz
- de manera eficaz
- eliminarlos
- Nuestros
- cifrado
- Ingeniería
- suficientes
- asegurando que
- establecer
- Evento
- siempre cambiante
- ejemplo
- Haz ejercicio
- existente
- esperar
- extremadamente
- Otoño
- familiar
- Feature
- Encuentre
- Nombre
- Fijar
- Focus
- centrado
- De
- obtener
- va
- maravillosa
- encargarse de
- suceder
- que sucede
- de alto nivel
- golpeando
- Agujeros
- Cómo
- HTTPS
- no haber aun identificado una solucion para el problema
- Identifique
- identificar
- Impacto
- implementar
- implementación
- implementación
- importante
- in
- incluir
- información
- EN LA MINA
- Las opciones de entrada
- Interfaz
- interno
- involucrar
- cuestiones
- IT
- saltar
- Saber
- labs
- Lead
- Nivel
- Vida
- Mira
- hecho
- Management
- manera
- a mano
- errores
- Mitigar las
- mitigar
- mitigar los riesgos
- Moda
- modelo
- modelos
- monitoreo
- más,
- MEJOR DE TU
- emocionante
- ¿ Necesita ayuda
- negativas
- Nuevo
- ONE
- opuesto
- organización
- para las fiestas.
- Otro
- Nuestra Empresa
- total
- EL DESARROLLADOR
- Personas
- Realizar
- realizar
- fase
- patas
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Meter
- políticas
- posible
- posible
- Problema
- la resolución de problemas
- problemas
- procedimientos
- en costes
- Producción
- Programación
- cualidades
- Preguntas
- con rapidez
- RE
- realista
- Realidad
- reciente
- regularmente
- liberado
- la revisión
- Riesgo
- riesgos
- Ejecutar
- Escala
- seguro
- EN LINEA
- los riesgos de seguridad
- Las amenazas de seguridad
- set
- tienes
- simplificado
- Software
- Desarrolladores de software
- Desarrollo de software ad-hoc
- RESOLVER
- Resolver
- algo
- Alguien
- Fuentes
- soluciones y
- las partes interesadas
- estándar
- estándares de salud
- comienzo
- quedarse
- pega
- Sin embargo
- estrategias
- racionalizado
- tal
- te
- Todas las funciones a su disposición
- escuchar
- hablar
- equipo
- equipos
- Técnico
- Pruebas
- El
- su
- sí mismos
- teorético
- cosa
- a fondo
- amenaza
- actores de amenaza
- amenazas
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- equipo
- a
- demasiado
- tradicional
- Formación
- trampas
- típicamente
- entender
- utilizan el
- validación
- versión
- Vulnerabilidades
- vulnerabilidad
- web
- Aplicación web
- ¿
- Que es
- que
- mientras
- dentro de
- Peor
- se
- Usted
- tú
- zephyrnet
