Modelización de amenazas

Modelización de amenazas

by Izar Tarandach, Matthew J. Coles
Released September 2024
Publisher(s): O'Reilly Media, Inc.
ISBN: 9781098186845

Read it now on the O’Reilly learning platform with a 10-day free trial.

O’Reilly members get unlimited access to books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.

Start your free trial

Book description

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

El modelado de amenazas es una de las partes más esenciales -y más incomprendidas- del ciclo de vida del desarrollo. Tanto si eres un profesional de la seguridad como un miembro de un equipo de desarrollo, este libro te ayudará a comprender mejor cómo puedes aplicar los conceptos básicos del modelado de amenazas a tu práctica para proteger tus sistemas contra las amenazas.

Contrariamente a la creencia popular, el modelado de amenazas no requiere conocimientos avanzados de seguridad para iniciarlo ni un esfuerzo hercúleo para mantenerlo. Pero es fundamental para detectar y abordar posibles problemas de forma rentable antes de escribir el código, y antes de que sea demasiado tarde para encontrar una solución. Los autores Izar Tarandach y Matthew Coles te guiarán a través de varias formas de enfocar y ejecutar el modelado de amenazas en tu organización.

  • Exploran propiedades y mecanismos fundamentales para asegurar los datos y la funcionalidad del sistema
  • Comprende la relación entre seguridad, privacidad y protección
  • Identificar las características clave para evaluar la seguridad de los sistemas
  • Obtén una revisión en profundidad de técnicas populares y especializadas para modelar y analizar tus sistemas
  • Contempla el futuro del modelado de amenazas y las metodologías de desarrollo ágil, incluida la automatización DevOps
  • Encuentra respuestas a las preguntas más frecuentes, incluyendo cómo evitar los errores comunes del modelado de amenazas

Table of contents

  1. Prólogo
  2. Prefacio
    1. Por qué escribimos este libro
    2. A quién va dirigido este libro
    3. Qué hay (y qué no hay) en este libro
    4. Estas técnicas se aplican a varios sistemas
    5. Tu contribución es importante
    6. Convenciones utilizadas en este libro
    7. Aprendizaje en línea O'Reilly
    8. Cómo contactar con nosotros
    9. Agradecimientos
  3. Introducción
    1. Los fundamentos del modelado de amenazas
      1. ¿Qué es el modelado de amenazas?
      2. Por qué necesitas un modelo de amenazas
      3. Obstáculos
      4. Modelado de amenazas en el ciclo de vida de desarrollo del sistema
    2. Principios esenciales de seguridad
      1. Conceptos básicos y terminología
      2. Cálculo de la gravedad o el riesgo
      3. Propiedades principales
      4. Controles fundamentales
      5. Patrones básicos de diseño para sistemas seguros
    3. Resumen
  4. 1. Sistemas de modelado
    1. Por qué creamos modelos de sistemas
    2. Tipos de modelado del sistema
      1. Diagramas de flujo de datos
      2. Diagramas de secuencia
      3. Diagramas de flujo del proceso
      4. Árboles de ataque
      5. Diagramas de espina de pescado
    3. Cómo construir modelos de sistemas
    4. ¿Cómo es un buen modelo de sistema?
    5. Resumen
  5. 2. Un enfoque generalizado del modelado de amenazas
    1. Pasos básicos
    2. Qué buscas en un modelo de sistema
      1. Los sospechosos habituales
      2. Lo que no debes esperar descubrir
    3. Recopilación de información sobre amenazas
    4. Resumen
  6. 3. Metodologías de modelado de amenazas
    1. Antes de profundizar demasiado...
    2. Mirar a través de filtros, ángulos y prismas
    3. A las metodologías, ¡por fin!
      1. DESLÍZATE
      2. STRIDE por elemento
      3. STRIDE por Interacción
      4. Proceso de simulación de ataques y análisis de amenazas
      5. Evaluación de amenazas y análisis de soluciones
      6. Triciclo
    4. Metodologías especializadas
      1. LINDDUN
      2. ¿Una locura? ¡Esto es SPARTA!
      3. NO INCLUYE SUCIEDAD
    5. ¿Jugamos a algo?
      1. Juego: Elevación de privilegios
      2. Juego: Elevación del privilegio y la intimidad
      3. Juego: Cornucopia OWASP
      4. Juego: Tarjetas de descubrimiento de amenazas a la seguridad y la privacidad
      5. Juego: LINDDUN GO
    6. Resumen
  7. 4. Modelado automatizado de amenazas
    1. ¿Por qué automatizar el modelado de amenazas?
    2. Modelado de amenazas a partir del código
      1. Cómo funciona
    3. Modelado de amenazas con código
      1. Cómo funciona
      2. pytm
      3. Threagile
    4. Visión general de otras herramientas de modelado de amenazas
      1. IriusRiesgo
      2. Elementos SD
      3. ThreatModeler
      4. Dragón de amenazas OWASP
      5. Herramienta de modelado de amenazas de Microsoft
      6. CAIRIS
      7. Esponja marina Mozilla
      8. Automatizador del Modelo de Amenaza Tutamen
    5. Modelado de amenazas con ML e IA
    6. Resumen
  8. 5. Modelización continua de amenazas
    1. ¿Por qué el Modelado Continuo de Amenazas?
    2. La Metodología de Modelado Continuo de Amenazas
    3. Evolutivo: Cada vez mejor
    4. La Metodología Autodesk de Modelado Continuo de Amenazas
      1. Baselining
      2. Análisis de referencia
      3. ¿Cuándo sabes que has hecho lo suficiente?
      4. Modelo de amenaza Cada historia
      5. Conclusiones sobre el terreno
    5. Resumen
  9. 6. Asume tu papel como defensor del modelo de amenazas
    1. ¿Cómo consigo que la dirección se sume al modelo de amenazas?
    2. ¿Cómo superar la resistencia del resto del equipo de producto?
    3. ¿Cómo superamos la sensación de fracaso (o real) en el modelado de amenazas?
    4. ¿Cómo elegir una metodología de modelado de amenazas entre muchos enfoques similares?
    5. ¿Cómo debo dar "las malas noticias"?
    6. ¿Qué medidas debo tomar para las conclusiones aceptadas?
    7. ¿Me he perdido algo?
    8. Resumen y cierre
    9. Otras lecturas
  10. A. Un ejemplo práctico
    1. Pasos del proceso de alto nivel
    2. Cómo abordar tu primer modelo de sistema
    3. Dirigir un Ejercicio de Modelización de Amenazas
    4. Un ejercicio de ejemplo: Crear un modelo de sistema
      1. Identificación de componentes, flujos y activos
      2. Identificar las debilidades y vulnerabilidades del sistema
      3. Identificar las amenazas
      4. Determinar la explotabilidad
      5. Para terminar
  11. B. El Manifiesto del Modelado de Amenazas
    1. Método y finalidad
    2. El Manifiesto sobre el Modelado de Amenazas
      1. ¿Qué es el modelado de amenazas?
      2. ¿Por qué un modelo de amenaza?
      3. ¿Quién debe ser modelo de amenaza?
      4. ¿Cómo debo utilizar el Manifiesto sobre Modelización de Amenazas?
      5. Valores
      6. Principios
      7. Acerca de
  12. Índice

Product information

  • Title: Modelización de amenazas
  • Author(s): Izar Tarandach, Matthew J. Coles
  • Release date: September 2024
  • Publisher(s): O'Reilly Media, Inc.
  • ISBN: 9781098186845