¿Qué es el modelo de amenaza STRIDE?

Las recientes brechas de seguridad de alto perfil han demostrado que las medidas de seguridad reactivas no son suficientes. Un modelado de amenazas adecuado puede haber evitado algunas de estas vulneraciones. El modelo de amenazas STRIDE, desarrollado por Microsoft, ha surgido como uno de los marcos más efectivos para la planificación proactiva de la seguridad. El acrónimo STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service (DoS) y Elevation of Privilege) es un enfoque sistemático de la seguridad que ayuda a los equipos de desarrollo a pensar como atacantes para proteger sus sistemas antes de que se produzcan infracciones.

Las 6 categorías de STRIDE

El modelo STRIDE clasifica las amenazas en seis tipos, abordando cada uno un aspecto diferente de los riesgos para la seguridad del software:

• Falsificación: Piense en la suplantación de identidad como un robo de identidad digital. Se refiere a hacerse pasar por otro usuario o componente del sistema para obtener un acceso no autorizado. Los ataques de suplantación comprometen los mecanismos de autenticación, lo que permite que los atacantes se hagan pasar por usuarios o dispositivos legítimos.

• Manipulación: La manipulación es la alteración no autorizada de los datos o el código. Estos ataques pueden comprometer la integridad de los datos al modificar los archivos, las bases de datos, el código de software, los pipelines de implementación o la memoria al ejecutar las aplicaciones. La manipulación plantea graves riesgos en todos los sistemas, sobre todo en aquellos en los que la precisión de los datos es crucial para la toma de decisiones.

• Repudio: Las amenazas de repudio aprovechan las brechas en la responsabilidad. Este tipo de amenaza para la seguridad se produce cuando un usuario o sistema deniega realizar una determinada acción, como una transacción. Esta amenaza aprovecha la falta de controles de no repudio en los sistemas de software, lo que dificulta que las partes sean responsables de sus acciones.

• Divulgación de la información: Esto se refiere a la exposición no intencionada de información confidencial o sensible a partes no autorizadas. Puede deberse a un cifrado inadecuado, a unos controles de acceso inadecuados o a vulnerabilidades en las aplicaciones web.

• Denegación de servicio (DoS): Esta categoría de amenazas para la seguridad tiene como objetivo interrumpir la disponibilidad de los servicios, al abrumar el sistema con solicitudes excesivas o aprovechar las vulnerabilidades del sistema. Los ataques DoS hacen que los sistemas no estén disponibles para los usuarios legítimos y causan disrupciones en la empresa.

• Elevación del privilegio: Esto ocurre cuando un atacante obtiene un acceso de más alto nivel del previsto, a menudo aprovechando una vulnerabilidad del sistema. Esto puede conducir a un control a nivel administrativo de un sistema, lo que permite que el atacante instale software malicioso, modifique las configuraciones del sistema o acceda a datos confidenciales.

Falsificación

La suplantación de identidad es el acto de hacerse pasar por otro dispositivo o usuario para engañar a los sistemas o a las personas. Esto puede implicar la falsificación de información de identidad, como direcciones IP o encabezados de correo electrónico. La amenaza planteada por la suplantación de identidad es significativa, ya que puede dar lugar a un acceso no autorizado, a vulneraciones de datos y a la manipulación de la información. Cuando los atacantes falsifican identidades con éxito, pueden saltarse fácilmente las medidas de seguridad diseñadas para proteger los sistemas sensibles. Algunos ejemplos comunes de ataques de suplantación de identidad son la suplantación de correo electrónico, en la que los atacantes envían mensajes que parecen provenir de una fuente de confianza, y la suplantación de IP, que puede permitir que los usuarios maliciosos evadan la detección. El impacto potencial de estos ataques puede ir desde pérdidas financieras y daños a la reputación hasta datos personales comprometidos.

Manipulación

La manipulación se refiere a la alteración no autorizada de los datos o las configuraciones del sistema, lo que puede incluir el cambio de archivos, la modificación del código de software o la interferencia con los datos en tránsito. Esta ley socava la integridad de los sistemas de software, ya que introduce datos incorrectos o malintencionados que pueden dar lugar a una conducta o unas decisiones erróneas del sistema. Estas alteraciones erosionan la confianza de los usuarios y pueden infringir las normativas de cumplimiento. Un ejemplo de manipulación es cuando un atacante altera el contenido de una actualización de software o manipula los registros de transacciones en una base de datos. Las repercusiones de estos ataques pueden ser graves, lo que genera pérdidas económicas, consecuencias legales y daños importantes a la reputación de una marca.

Repudio

En ciberseguridad, el repudio describe la capacidad de un usuario para negarse a realizar una acción dentro de un sistema, a menudo debido a la falta de pruebas o registros fiables. Esto plantea retos para la responsabilidad y la no repudio, lo que dificulta el seguimiento de las acciones hasta los usuarios.  El repudio puede ser especialmente problemático en los sistemas de comercio electrónico, financieros o legales, en los que los registros de transacciones deben ser fiables. Por ejemplo, cuando un usuario afirma que no autorizó una transacción, la ausencia de un registro suficiente puede obstaculizar las investigaciones y la aplicación de las políticas de seguridad. El impacto de dichos ataques de repudio puede generar disputas sobre las transacciones, un aumento de las oportunidades de fraude y unos protocolos de seguridad debilitados, que pueden comprometer la integridad general de un sistema.

Divulgación de la información

La divulgación de la información implica el acceso o la exposición no autorizados de los datos confidenciales a personas o entidades que no pretenden recibirlos. Este acceso no autorizado supone una grave amenaza, ya que puede provocar robo de identidad, espionaje corporativo e infracciones de las normativas de privacidad. La confidencialidad de los datos se ve comprometida, lo que puede tener repercusiones duraderas tanto para las personas como para las organizaciones. La divulgación de la información suele manifestarse en ataques de canal lateral en microservicios, exposiciones a errores de configuración de la nube, filtraciones de información de API y ataques de sincronización de caché. Los objetivos comunes de la divulgación de la información incluyen los datos personales, los secretos comerciales y la propiedad intelectual, lo que puede conllevar multas regulatorias y daños a la reputación.

Algunos ejemplos de ataques de divulgación de la información son las vulneraciones de datos que hacen que se filtre información confidencial de los clientes o el almacenamiento en la nube mal configurado que expone los datos privados. Los posibles impactos son importantes, ya que incluyen pérdidas financieras, responsabilidades legales y un impacto devastador en la confianza de los consumidores.

Denegación de servicio

La denegación de servicio (DoS) se refiere a un ataque dirigido a hacer que un servicio no esté disponible para sus usuarios previstos, abrumándolo de tráfico o explotando vulnerabilidades. Estos ataques interrumpen la disponibilidad de los sistemas de software, lo que hace que sean inaccesibles para los usuarios legítimos. Las consecuencias pueden incluir tiempos de inactividad, pérdidas de ingresos y daños a la reputación de una organización. Un ejemplo común de un ataque DoS es un ataque de denegación de servicio distribuido (DDoS), en el que múltiples sistemas inundan un servidor de destino con tráfico. El impacto de estos ataques puede ser sustancial, lo que provoca disrupciones operativas y costes financieros importantes, que pueden tardar bastante tiempo en recuperarse.

Elevación del privilegio

La elevación de los privilegios describe una vulnerabilidad de seguridad que permite que un usuario obtenga acceso no autorizado a funciones o datos de mayor nivel dentro de un sistema. Este tipo de acceso supone una grave amenaza, ya que permite que los atacantes manipulen datos confidenciales, ejecuten comandos administrativos o comprometan la integridad del sistema. Por ejemplo, una elevación de los ataques de privilegios puede implicar el aprovechamiento de las vulnerabilidades del software para obtener derechos de administrador o el uso de tácticas de ingeniería social para engañar a los usuarios para que otorguen un acceso elevado. El impacto potencial de dichos ataques puede ser profundo, lo que provoca vulneraciones de datos, daños en el sistema y grandes daños a la seguridad organizativa, lo que hace que sea esencial que las organizaciones prioricen medidas de seguridad efectivas.

Implementación de STRIDE

Podemos clasificar ampliamente la implementación del modelado de amenazas con STRIDE en las siguientes fases:

Fase 1: Descomposición del sistema

Divida la arquitectura del software en componentes distintos, como servidores, bases de datos, API e interfaces de usuario. Esto ayuda a identificar los puntos de entrada y los activos a los que pueden dirigirse las amenazas.

1. Cree un diagrama de flujo de datos (DFD) de su sistema.
2. Identifique los límites de confianza.
3. Mapee los componentes del sistema y sus interacciones.
4. Documente los puntos de autenticación y autorización.

Fase 2: Análisis de amenazas

Para cada componente identificado, analice las posibles amenazas basándose en las categorías STRIDE. Por ejemplo, examine si los mecanismos de autenticación son vulnerables a la suplantación de identidad o si los métodos de almacenamiento de datos pueden ser susceptibles de manipulación.

Para cada componente:

1. Aplique las categorías STRIDE.
2. Utilice árboles de amenazas para identificar vectores de ataque.
3. Tenga en cuenta el impacto empresarial.
4. Documente las suposiciones y las dependencias.

Fase 3: Planificación de la mitigación

Para cada amenaza, desarrolle los controles de seguridad correspondientes. Las técnicas pueden incluir la aplicación de una autenticación sólida para evitar la suplantación, el uso de firmas digitales para proteger contra la manipulación o la implementación de una limitación de velocidad para protegerse de los ataques DoS.

Cree una estrategia de mitigación que incluya lo siguiente:

1. Controles técnicos
2. Protección de los procedimientos
3. Requisitos de supervisión
4. Procedimientos de respuesta a incidentes

Herramientas modernas para la implementación de STRIDE

Herramientas comerciales

• Herramienta de Modelado de Amenazas de Microsoft: Esta herramienta permite que los usuarios creen representaciones visuales de los sistemas de software e identifiquen las amenazas basándose en el marco STRIDE.
• IriusRisk: Esta herramienta ofrece modelado automatizado de amenazas y capacidades de evaluación de riesgos, lo que permite la integración con los flujos de trabajo de desarrollo existentes.
• ThreatModeler: Esta herramienta de modelado de amenazas nativa de la nube facilita la identificación y la evaluación de las amenazas para la seguridad en los diseños arquitectónicos, lo que permite la colaboración y la integración en los procesos de desarrollo.

Alternativas de código abierto

• El dragón de la amenaza OWASP: Esta herramienta de modelado de amenazas de código abierto permite diagramar la arquitectura del software y evaluar las amenazas para la seguridad.
• PyTM: Este marco de trabajo basado en Python para el modelado de amenazas permite que los usuarios definan los sistemas y sus posibles amenazas de manera programática, lo que facilita la automatización y la integración en los flujos de trabajo de desarrollo existentes.
• AmenazaEspecificaciones: Esta herramienta de modelado de amenazas de infraestructura como código mejora la seguridad al permitir que los usuarios definan y analicen los riesgos de seguridad directamente dentro de su código, lo que agiliza la identificación de las vulnerabilidades en la nube y los entornos locales.

Ventajas de usar el modelo de amenazas STRIDE

En el sector bancario, el modelo STRIDE se utiliza para identificar las posibles amenazas para las aplicaciones de la banca en línea. Al categorizar las amenazas como la suplantación y la divulgación de información, los bancos pueden implementar medidas como la autenticación y el cifrado multifactor para proteger los datos de los clientes. Del mismo modo, en el sector sanitario, los hospitales utilizan el marco STRIDE para proteger la información de los pacientes almacenada en las historias clínicas electrónicas (HCE). Este modelo de amenazas ayuda a proteger los canales de transmisión de datos y garantiza que solo el personal autorizado pueda acceder a la información confidencial. Los proveedores de servicios en la nube también utilizan STRIDE para evaluar las amenazas en entornos multiinquilino, identificando riesgos como la manipulación y la elevación de privilegios. Al hacerlo, pueden implementar estrictos controles de acceso y cifrado para aislar los datos de los clientes de manera efectiva.

El modelo de amenazas STRIDE proporciona varias ventajas para el desarrollo del software y la ciberseguridad, como:

• Seguridad proactiva: La identificación de las amenazas desde el principio del SDLC permite la integración de las medidas de seguridad antes del despliegue, lo que reduce la probabilidad de que las vulnerabilidades se aprovechen en la producción.
• Evaluación completa de los riesgos: Las seis categorías de amenazas cubren varios aspectos de la seguridad, lo que garantiza una evaluación holística de la posición de seguridad del software.
• Mayor concienciación sobre la seguridad: Al usar STRIDE, los equipos de desarrollo entienden mejor los riesgos potenciales, fomentando una cultura centrada en la seguridad dentro de la organización.
• Mitigación rentable: Abordar los problemas de seguridad durante la fase de diseño suele ser menos caro que solucionar las vulnerabilidades después del despliegue. STRIDE permite que las organizaciones implementen contramedidas efectivas de manera temprana, lo que ahorra tiempo y recursos.
• Mejora del cumplimiento normativo: Para los sectores que requieren un estricto cumplimiento de las leyes y normas de protección de datos (por ejemplo, RGPD, HIPAA), el uso de STRIDE puede ayudar a demostrar un compromiso con la seguridad y la gestión de riesgos.

Conclusión

El modelado de amenazas, un subconjunto de la detección de amenazas, ayuda a los equipos de seguridad a mantenerse al día de la creciente cantidad y sofisticación de los ataques. A medida que los sistemas se vuelven más complejos y las amenazas más sofisticadas, el enfoque estructurado de STRIDE se vuelve cada vez más valioso. Las organizaciones deben adaptar su implementación de STRIDE para abordar las amenazas emergentes, manteniendo al mismo tiempo sus principios fundamentales de identificación y mitigación sistemáticas de las amenazas. Al entender e implementar correctamente STRIDE, las organizaciones pueden proteger mejor sus activos, mantener la confianza de los clientes y garantizar la continuidad operativa en un entorno digital cada vez más hostil.

Gracias a su arquitectura Evergreen®, Pure Storage ofrece soluciones informáticas y de almacenamiento que priorizan la seguridad, con ActiveDR™, ActiveCluster™ y SafeMode™ Snapshots, por nombrar algunas. Estas soluciones ayudan a implementar correctamente marcos de seguridad como STRIDE, proporcionando la tecnología subyacente para garantizar que las prácticas definidas por el modelo son efectivas y exitosas.