Threat modeling - Identificando las amenazas que nos afectan

La semana pasada hackearon al mismísimo FBI y al día siguiente Telefónica también fue atacada. 

Como podéis ver, son entidades bastante poderosas y con medios suficientes como para poder defenderse, pero me viene una pregunta a la cabeza: Si entidades con medidas de seguridad tan fuertes han sido atacadas...

¿Qué posibilidades tengo yo de salir bien parado?

Para poder sobrevivir en el ecosistema actual, las empresas deben de establecer un plan estratégico de seguridad a largo plazo, donde se deben de activar diferentes tácticas (a medio plazo) que nos ayuden a protegernos. Estas tácticas se componen de diferentes planes operativos que son los trabajos más inmediatos que se pueden llevar a cabo.

Pues bien, hoy me gustaría presentar una de las tácticas que se deben de llevar a cabo en un plan bien estructurado de seguridad: El modelado de amenazas o Threat modeling.

Esto que parece algo baladí es una tarea de lo más  importante, porque para defendernos, primero tenemos que saber de qué o quien debemos protegernos y cómo hacerlo. 

Cada una de estas preguntas tiene su propio plan de acción.

El primer paso es tener un listado detallado de nuestros activos, su valor, su criticidad para el negocio, su ubicación, etc... En definitiva una mirada introspectiva donde podamos analizar, categorizar y cuantificar nuestros activos; saber cuales son indispensables para el negocio, y por tanto cuales debemos proteger con mayor celo. En este punto deben de intervenir los responsables del negocio y los data owners
Las empresas que hayan adoptado el método ITIL sabrán a lo que me refiero (CMDB).

El segundo paso es conocer las amenazas y riesgos a los que se exponen nuestros activos. Para esto se crea el modelaje de amenazas, donde se tendrá que recurrir a los data owners (otra vez) y a los responsables técnicos para definir: el ciclo de vida de los datos, sus diagramas de flujo y los objetos y sujetos por los que pasa.

No es igual publicar un servicio web, dónde estaremos expuestos a ataques de denegación de servicios o a una revelación de datos privados, que la creación de una aplicación de uso interno donde se procesan datos sensibles. Cada activo debe analizarse cuidadosamente para descubrir todas las posibles amenazas. Una amenaza puede ser cualquier cosa: desde un acceso no autorizado a las instalaciones hasta cualquier persona que piratee los servidores críticos de una base de datos. 

Para los activos relacionados con la seguridad de la información y el desarrollo de aplicaciones existen metodologías para ayudarnos en este proceso: STRIDE, PASTA, DREAD o VAST. De las cuales haré antes o después un post para ellas.

Lo siguiente es definir y establecer las defensas pertinentes. Al final cada riesgo definido en los pasos anteriores debe tener su propia contramedida disponibles. 

Y por último: probar las medidas, medir su éxito y establecer su mantenimiento a lo largo del tiempo. Creando revisiones periódicas dependiendo de la importancia del activo que protegen.  

Estos controles se suelen contratar a empresas de pentesting externas que intentarán hackearnos y posteriormente nos darán un reporte de los resultados de sus intentos de acceso. 

Conclusión:

 De nada sirve crear una defensa magnifica en un punto si dejamos otros al descubierto. 

Tampoco nos enfrentamos a las mismas amenazas si los usuarios utilizan el hardware proporcionado en la empresa (que está homologado y controlado por el departamento de IT que si permites que los usuarios utilicen sus propios dispositivos en casa. Así que Imaginad los quebraderos de cabeza del equipo de seguridad frente al teletrabajo.

La verdad es que según he ido escribiendo el post, me he dado cuenta de lo increíblemente profundo que puede ser este tema y de lo corto que se queda esta visión a vista de pájaro. Así que seguramente iré desgranando el asunto en otros post.