Modelado de amenazas en una empresa

• Threat modeling: Servicio. Ingenieros y managers. 3 meses vista.
• Risk management: Estrategia. Directores y VP. 1 año vista.
• Wardley Mapping: Sistema. VP y niveles "C". 3 años vista.

Ciclo de vida

• Descripción del sistema
• Identificación de amenazas
• Mitigación
• Validación

https://learn.microsoft.com/en-us/archive/msdn-magazine/2009/january/security-briefs-getting-started-with-the-sdl-threat-modeling-tool

Ventajas del Threat Modeling

• Documentación del sistema
• Identificación temprana de las amenazas
• Priorización de los riesgos más importantes
• Prevención de vulnerabilidades

Terminología

• Threat / Amenaza: cualquier circunstancia con el potencial de impactar una organización
• Vulnerability / Vulnerabilidad: debilidad que un agente puede usar durante un ataque
  • A tener en cuenta: facilidad de descubrimiento, explotación, publicidad, ¿es detectable?
• Asset / Recurso: qué es lo que queremos proteger. Datos, prestigio...
• Agent / Actor: individuo o grupo capaz de llevar a cabo una amenaza.
  • A tener en cuenta: conocimientos, motivos, oportunidad y recursos

https://www.g2.com/articles/threat-modeling

• Impacto / Impact: daño potencial que puede producir una amenaza
  • A tener en cuenta: confidencialidad, integridad, availability, accountability, existencia de logs...
  • Tipos: económico, de imagen, non-compliance, privacidad
• Probabilidad de ocurrencia / Likelihood: probabilidad de que una amenaza se realice
• Controles: seguridad instalada para impedir, detectar y minimizar amenazas
  • Prevenciones: controles que impiden totalmente un ataque
  • Mitigaciones: controles que reducen la probabilidad de que un ataque tenga impacto
  • Trazabilidad: controles que permiten descubrir qué ha pasado: logs

https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet.html

Tipos de errores

https://www.baeldung.com/cs/software-testing-defect-bug-error-and-failure

Fases genéricas del análisis de amenazas

• ¿En qué estamos trabajando? Describe el escenario
• ¿Qué puede salir mal? Determina las amenazas
• ¿Qué haremos al respecto? Contramedidas y mitigación
• ¿Hemos hecho un buen trabajo? Evalúa tu trabajo

https://www.threatmodelingmanifesto.org/
OWASP Threat Modeling Process
OWASP Threat Modelling Cheatsheets

Metodología

• Brainstorming estructurado
• Diagramas del sistema
  • Actores
  • Casos de uso
  • Flujo de datos
  • Identificación de los "trust boundaries", puntos en los que los datos cambian de entorno

https://en.wikipedia.org/wiki/4%2B1_architectural_view_model

Diagramas del sistema (DFD3)

https://github.com/adamshostack/DFD3/

Ejemplo: Informes Periciales

• Nombre de aplicación: informes periciales 1.0
• Descripción: editor de texto para edición de informes periciales que permita edición simultánea de varios analistas, y vista de "solo lectura" para abogados
• Usuarios:
  • Analistas, que trabajan en la oficina
  • Revisores externos que trabajan en remoto (home office)
  • Clientes finales, con acceso de solo lectura
• Dependencias impuestas: SSO, VPN, código libre, control de tiempos

Preguntas para del modelado

• ¿Cuáles son los puntos de entrada?
• ¿Cuáles son las salidas del sistema?
• ¿En qué podría estar interesado/a un/a atacante?
• ¿Qué elementos son importantes?

Dibuja todos los diagramas que veas necesario, nunca sobrarán

Ejemplo: Brainstorming

En blanco para poder dibujar

Ejemplo: Brainstorming (sistema)

Descripción del sistema completo

Ejemplo: Brainstorming (detalle)

Detalle del proceso de edición por un usuario

Flujos de datos

https://en.wikipedia.org/wiki/Threat_model

Diagrama funcional

Diagrama de estados

Casos de uso

Creación de historias

"Como tipo-de-usario, quiero característica para recibir beneficio pero también indeseado"

Ejemplos de aplicación: https://github.com/OpenSecuritySummit/project-ASVS-User-Stories

Ejemplo: historias de informes periciales

• Como analista, quiero poder escribir un informe junto con otros analistas para poder acabar el menor tiempo posible, pero sin que repitamos trabajo
• Como administrativo, quiero poder facturar el trabajo al cliente sabiendo cuántas horas hemos dedicado, sin que ningún analista haya inflado las horas
• Como revisor, quiero poder decidir cuándo un informe está acabado, sin que nadie más pueda firmar digitalmente el documento
• Como revisor, quiero poder acceder al sistema desde mi casa, sin que nadie pueda hacerse pasar por mí
• Como cliente, quiero poder acceder a los informes, en confidencialidad
• Como auditor, quiero saber a qué evidencias han accedido los analistas, sino que ningún actor pueda eliminar trazas de acceso

Debilidad

Un tipo de error (no solo un bug) que puede contrubuir a la introducción de vulnerabilidades en el sofware

Ejemplos de debilidades en la base de datos CWE, Common Weakness Enumeration

Top weakness 2023: https://cwe.mitre.org/data/definitions/1425.html

Vulnerabilidad

Una ocurrencia de una debilidad en el sofware que puede utilizar un atacante para acceder o modificar datos, interrumpir el servicio o realizar acciones incorrectas.

Ejemplos en la base de datos CVE, Common Vulnerabilities and Exposures

Metodologías de identificación de amenazas

• Threat Modeling and Security by Design. Ideas generales
• OWASP Top 10
• STRIDE
• Juegos de cartas: Cornucopia, Elevation of privilege
• Matriz de Mitre
• P.A.S.T.A.
• Mitre CAPEC
• Magerit
• STRIPED
• VAST Visual Agile Simple Threat Modeleling
• Hybrid Threat Modeling Method HTMM

STRIDE - Spoofing

• El atacante pretende ser algo o alguien que no es
• ¿Están ambos extremos de las comunicaciones autenticados?
  • Envío de emails desde cuentas que parecen ser reales
  • Cambio de roles
  • Creación de ficheros
  • ARP, IP, DNS...

STRIDE - Tampering

• El atacante cambia datos sin autorización
• ¿Cómo puedo detectar si un usuariocambia los datos en tránsito o en reposo (at-rest)?
  • Modificación de la memoria
  • Modificación de registros de una base de datos que pertenecen a otro usuario
  • Actuar cómo proxy y modificar el tráfico (Man in the middle)

STRIDE - Repudiation

• El atacante asegura no haber hecho algo
• ¿Están las acciones registradas y asociadas a su autor?
  • Decir no haber borrado registros de una base de datos
  • Decir no haber recibido una notificación
  • Decir no haber usado la cuenta de otro

STRIDE – Information Disclosure

• El atacante ve datos que no debería
• ¿Cómo puedo aseurar que los usuarios sólo puedan ver los datos a los que están autorizados?
  • Acceso a registros de otro usuario
  • Acceso al tráfico de red
  • Acceso a ciertos logs

STRIDE – Denial of Service

• El atacante tira el sistema abajo o lo pone en una situación de malfuncionamiento
• ¿Hay áreas en el sistema limitada por recursos o sus dependencias?
  • Inundando el tráfico de red
  • Lanzando alguna petición que consuma la CPU o la memoria
  • Llenando el sistema de ficheros con datos (logs, subiendo ficheros grandes, etc)

STRIDE – Elevation of Privilege

• El atacante gana más acceso al sistema del que debería
• ¿Cómo puedo asegurar que un usuario no puede hacer o ver cosas que no debería?
  • Extracción de datos explotando una vulnerabilidad (memoria, base de datos, etc)
  • Ganando privilegios de administrador

OWASP ASVS

OWASP Application Security Verification Standard (ASVS) es:

• Base para des controles técnicos de seguridad de las aplicaciones web
• Lista de requisitos para un desarrollo seguro de aplicaciones web

Usos:

• Como métrica: grado de confianza que se puede depositar en sus aplicaciones web
• Como guía: qué incorporar a los controles de seguridad para satisfacer los requisitos
• Como estándar: requisitos de verificación de seguridad de las aplicaciones en los contratos

Árbol de amenazas

Arriba los objetivos, vamos bajando identificando qué haría un atacante para alcanzarlos

https://www.totem.tech/small-business-cybersecurity-threat-modeling/
https://en.wikipedia.org/wiki/Attack_tree
https://www.schneier.com/academic/archives/1999/12/attack_trees.html
https://www.exploresec.com/attack-tree-example

Pero no todas las amenazas son iguales: es necesario priorizar

https://www.totem.tech/small-business-cybersecurity-threat-modeling/

https://www.totem.tech/small-business-cybersecurity-threat-modeling/

Risk Rating Methodologies

• Guide for Conducting Risk Assessments. NIST SP 800-30 Rev. 1
• OWASP Risk Rating Methodology
• DREAD Microsoft
• Rapid Risk Assessment Mozilla
• Bug Bar (Practice 3) Microsoft
• Common Vulnerability Scoring System SIG
  CVSS

OWASP: Risk Rating Methodology

• Paso 1: Identificación del riesgo
• Paso 2: Factores para estimar la Probabilidad: agentes y vulnerabilidades
• Paso 3: Factores para estimar la Probabilidad: técnicos y negocio
• Paso 4: Determinar la severidad del riesgo
• Paso 5: ¿Qué hacemos?
• Paso 6: Mejora el modelo de riesgos

https://owasp.org/www-community/OWASP_Risk_Rating_Methodology

Paso 1: Identificación del riesgo

• Los que han aparecido durante las fases anteriores
• Kill Chain
• Matriz de Mitre
• Experiencia

Matriz de MITRE

https://attack.mitre.org/

https://mitre-attack.github.io/attack-navigator/

https://top-attack-techniques.mitre-engenuity.org/

https://top-attack-techniques.mitre-engenuity.org/calculator

https://mitre-attack.github.io/attack-navigator/#layerURL=https://center-for-threat-informed-defense.github.io/insider-threat-ttp-kb/green_seen_v1_v2.json

Diagrama: https://owasp.org/www-community/Threat_Modeling_Process

https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final

Fíjate en cuántos factores influyen en la evaluación de riesgo: facilidad de encontrar la vulnerabilidad, conocimientos necesarios, impacto que puede tener...

Metodología

• Revisiones constantes
• Uso de checklists
• Auditorías internas / externas
• Pentesting
• Trátalo como código: lleva control de versiones
• No te centres en problemas improbables
• No te centres en problemas que se van a resolver sin duda

Propósito del informe

• Reportar amenazas existentes
• Ejecutivo: decidir sobre priorización de tareas
• Documentar el trabajo hecho
• Rápido de leer y entender:
  • Usa tablas
  • Usa nomenclatura estándar
• Entender dónde estamos y hacia dónde vamos

El informe debería tratarse como documento confidencial

Herramientas

• Diagrams.net More Diagrams -> Data Flow
• OWASP Threat Dragon
• pyTM: Threat Modeling as code. It can generate DFDs, sequence diagrams and reveal threats to your system
• Microsoft Threat Modeling Tool
• Threagile, que se verá en las siguientes slides

Threagile: https://github.com/Threagile/threagile

docker run --rm -it --user $(id -u):$(id -g) \\
   -v "$(pwd)":/app/work threagile/threagile -create-example-model -output /app/work
docker run --rm -it --user $(id -u):$(id -g) \\
   -v $(pwd):/app/work threagile/threagile -verbose \\
   -model /app/work/threagile-example-model.yaml -output /app/work

Describe el sistema en YAML

Marketing CMS:
    id: marketing-cms
    #diagram_tweak_order: 0 # affects left to right positioning (only within a trust boundary)
    description: CMS for the marketing content
    type: process # values: external-entity, process, datastore
    usage: business # values: business, devops
    used_as_client_by_human: false
    out_of_scope: false
    justification_out_of_scope:
    size: application # values: system, service, application, component
    technology: cms # values: see help
    tags:
      - linux
    internet: false
    machine: container # values: physical, virtual, container, serverless
    encryption: none # values: none, transparent, data-with-symmetric-shared-key...
    owner: Company ABC
    confidentiality: internal # values: public, internal, restricted, confidential, strictly-confidential
    integrity: important # values: archive, operational, important, critical, mission-critical
    availability: important # values: archive, operational, important, critical, mission-critical
    justification_cia_rating: >
      The correct configuration and reachability of the web server is mandatory for all customer usages of the portal.
    multi_tenant: false

Ejemplo completo, - Diagrama, - Informe

Sistema de Incident Response en cloud

Creación de Pólizas Individuales de Salud

Sistema de facturación para empresa

Aplicación para control financiero

Referencias

• Playbook for Threat Modeling Medical Devices: Mitre, aprende TM con un ejemplo complejo
• OWASP Threat Modelling Cheatsheets
• OWASP Threat Modeling Process
• Guide for Conducting Risk Assessments NIST SP 800-30 Rev. 1. September 2012
• Juego Elevation of Privilege
• Juego OWASP Cornucopia
• MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

Ejercicio

• Escoge una sistema cualquiera de tu interés: una aplicación web con interfaz móvil, redes de drones, sistema médico como el que hemos visto en la sesión...
• Dibuja un modelo de la aplicación, identificando las zonas de confianza y los flujos de datos
• Haz un análisis STRIDE de las amenazas que identifiques
• Plantea mitigaciones para cada amenaza STRIDE que identifiques
• Prioriza los riesgos encontrados

El objetivo no es encontrar todos los problemas de seguridad de una aplicación, sinó aplicar los pasos modelado, análisis, mitigaciones, priorización.

La extensión esperada del documento es unas 5 páginas

Entrega en PDF