Apéndice A. Un ejemplo práctico
Creemos que te hemos proporcionado una comprensión profunda del proceso de modelado de amenazas, desde la construcción de un modelo de sistema, la obtención de información sobre el sistema y el análisis de la abstracción en busca de vulnerabilidades y amenazas potenciales. A continuación, te guiaremos a través de un ejemplo para consolidar tu comprensión.
Nota
Dado que se trata de un documento estático que carece del nivel de interactividad que suele requerir el modelado de amenazas, los siguientes pasos del proceso se condensan en "preparar el escenario" seguido de "desvelar el final" (¡sin spoilers aquí!). A partir de este planteamiento, deberías entender cómo enfocar tu propio ejercicio de modelización de amenazas, según la metodología que elijas.
Pasos del proceso de alto nivel
Como recordatorio del Capítulo 2, he aquí los pasos de modelado de amenazas de alto nivel que seguiremos en este ejemplo:
-
Identifica los objetos del sistema considerado.
-
Identifica los flujos entre esos objetos.
-
Identifica los activos de interés.
-
Determina el potencial de impacto sobre los activos.
-
Identifica las amenazas.
-
Determina la explotabilidad.
Tras la identificación de las amenazas, se archivarían los defectos, se elaborarían las mitigaciones y se coordinaría con los equipos de desarrollo del sistema para poner en marcha las mitigaciones; no entraremos en estos pasos en este ejemplo, ya que eso es específico de cada organización y no pretendemos ...
Get Modelización de amenazas now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
