Herramienta de modelado de amenazas de Microsoft 2016 | Serie 1

Posted on by Rudeus Greyrat

Después de tener una discusión sobre el modelado de amenazas . Ahora sabemos qué es el modelado de amenazas y cuáles son los dos enfoques para el modelado de amenazas: Modelado de amenazas basado en DFD Conjunto 1 y Conjunto 2 y Modelado de amenazas basado en diagramas de flujo de procesos. 
En este artículo, analizaremos en detalle la herramienta de modelado de amenazas de Microsoft 2016. Esta herramienta puede: 

  • Puede crear DFD para productos y servicios
  • Analice DFD para generar automáticamente una lista de amenazas potenciales
  • Sugerir mitigaciones potenciales para diseñar vulnerabilidades
  • Producir informes que enumeran las amenazas identificadas y mitigadas
  • Crea plantillas personalizadas para el modelado de amenazas.

Microsoft Threat Modeling Tool aplica el esquema de clasificación de amenazas STRIDE a las amenazas identificadas. 
STRIDE es un acrónimo de Spoofing, Tampering, Repudiation, Information Disclosure, Elevation of Privilege. 
Esta herramienta es gratuita para descargar y usar. 
Puede descargar la herramienta siguiendo el enlace mencionado a continuación, desde el sitio web oficial de Microsoft: 
Herramienta de modelado de amenazas de Microsoft 
Después de descargar la herramienta, ejecute ThreatModelingTool2016.msi e instálela siguiendo los pasos. 

Hay cuatro escenarios disponibles cuando ejecuta la herramienta. 

  1. Creación de un nuevo modelo de amenaza : se crea un nuevo modelo para el sistema dibujando el diagrama. Estaremos discutiendo este escenario en detalle. La plantilla predeterminada para el nuevo modelo es SDL TM Knowledge Base (Core) (4.1.0.9)
  2. Modificación de un modelo de amenazas existente: abra el modelo existente y analice las amenazas contra su sistema. Se puede abrir el modelo existente para realizar cambios seleccionando el modelo deseado de la lista de modelos abiertos recientemente en la pantalla inicial o navegando a la opción de abrir en el menú de archivo.
  3. Crear nueva plantilla: defina plantillas, tipos de amenazas y propiedades de amenazas personalizadas para su modelo de amenazas desde cero.
  4. Modificación de la plantilla existente: abra la plantilla existente para realizar modificaciones que se adapten mejor a su análisis de amenazas específico

Haga clic en la opción Crear NUEVO MODELO para comenzar con el análisis de amenazas. 
La pantalla principal contará con tres paneles: Lienzo de dibujo, Plantillas, Propiedades del elemento. 

  • Lienzo de dibujo: este es el espacio para que el usuario dibuje el diagrama de flujo de datos para el sistema que se va a modelar. El proceso recomendado es comenzar con un diagrama simple y agregar detalles para explicar el sistema y mostrar todos los límites de confianza. Si usa diagramas secundarios, puede extender los diseños lateralmente en varias hojas y expandir los elementos de alto nivel en sus elementos componentes internos. 

     

  • Plantillas: Esto muestra el gran conjunto de iconos y componentes que ayudan a dibujar DFD con mayor precisión. El uso de elementos más específicos permite generar amenazas más precisas. El panel Plantillas muestra una vista de árbol de las plantillas clasificadas por Plantillas genéricas. 

     

A continuación se muestra la lista de elementos disponibles: 

  1. Proceso Genérico 
    1. Proceso OS: Significa un proceso de Windows.
    2. Hilo: significa un hilo de ejecución en el proceso de Windows.
    3. Kernel Thread: Es un hilo de ejecución en el kernel de Windows.
    4. Aplicación nativa: es una representación de la aplicación Win32 o Win64
    5. Aplicación administrada: es una representación de la aplicación .NET.
    6. Cliente Grueso: Es una representación de cliente grueso
    7. Cliente del navegador: Es una representación del cliente del navegador.
    8. Complementos de navegador y ActiveX: es una representación del complemento del navegador
    9. Servidor web: es una representación del proceso del servidor web.
    10. Proceso de la tienda de Windows: es una representación del proceso de la tienda de Windows.
    11. Servicio Win32: Es una representación del servicio de red.
    12. Aplicación web: entrega contenido web al usuario.
    13. Servicio web: Expone una interfaz programática.
    14. Máquina virtual: una máquina virtual que se ejecuta en una partición Hyper-V.
    15. Aplicación que se ejecuta en un sistema operativo que no es de Microsoft: estas son las aplicaciones de Microsoft que se ejecutan en el sistema operativo de Google o Apple.
  2. Interactor externo genérico 
    1. Navegador: Es una representación del navegador web externo.
    2. Proveedor de autorización: es una representación de un proveedor de autorización externo. ejemplo facebook etc
    3. Aplicación web externa: es la representación de una aplicación web externa (como un portal o interfaz) que entrega contenido web a un usuario humano.
    4. Servicio web externo: es la representación de un servicio web externo que expone una interfaz programática.
    5. Usuario Humano: Es una representación del usuario humano.
    6. Mega Servicio: un gran servicio que tiene solo una instancia en Internet, como Outlook.com o Xbox Live.
    7. Windows Runtime: representa el punto en el que una aplicación llama a una biblioteca de tiempo de ejecución no administrada, como CRT.
    8. Windows .NET Runtime: representa el punto en el que una aplicación llama a .NET Framework.
    9. Tiempo de ejecución de Windows RT: representa el punto en el que una aplicación llama a WinRT.
  3. Almacén de datos genéricos 
    1. Almacenamiento en la nube: es una representación del almacenamiento en la nube.
    2. Base de datos SQL: es una representación de la base de datos SQL
    3. Base de datos no relacional: es una representación de la base de datos no relacional.
    4. Sistema de archivos: Es una representación del sistema de archivos.
    5. Registry Hive: Es una representación de registro.
    6. Archivo de configuración: archivos como INF, XML, etc.
    7. Caché: Es una representación del caché local
    8. Almacenamiento local HTML5: es una representación del almacenamiento local HTML5.
    9. Cookies: es una representación del almacenamiento de cookies.
    10. Dispositivo: Es una representación del almacenamiento del dispositivo.
  4. Flujo de datos genéricos 
    1. HTTP: es una representación del flujo de datos HTTP
    2. HTTPS: es una representación del flujo de datos HTTP, TLS, SSL
    3. Binario
    4. IPSec: Es una representación del flujo de datos IPSec.
    5. Named Pipe: Es una representación del flujo de datos de Named Pipe.
    6. SMB: es una representación del flujo de datos de Server Message Block 1.0 o Server Message Block 2.0
    7. RPC o DCOM: es una representación de la llamada de procedimiento remoto o el flujo de datos COM distribuido.
    8. ALPC: comunicación entre procesos mediante el puerto de llamada de procedimiento local avanzado.
    9. UDP: Transporte de protocolo de datos de usuario.
    10. Interfaz IOCTL: una interfaz de una aplicación para comunicarse con el controlador del dispositivo.
  5. Límite de línea de confianza genérico 
    1. Límite de Internet
    2. Límite de confianza de la máquina
    3. Límite del modo de usuario o del modo kernel
    4. Límite del contenedor de la aplicación
  6. Límite de frontera de confianza genérico 
    1. Límite de confianza de CorpNet: es una representación de frontera del límite de confianza de la red corporativa.
    2. Borde del límite de confianza de la zona de pruebas: es una representación de borde del límite de confianza de la zona de pruebas.
    3. Límites de Internet Explorer: es una representación en arco del límite de confianza de Internet
    4. Límites de otros navegadores: Describe los tipos de límites de confianza implementados por Google Chrome y Mozilla Firefox.
  7. Anotación de texto libre
  8. Propiedades del elemento: Los atributos o podemos decir propiedades varían de un elemento a otro. La única propiedad que es común para todos los elementos es el Nombre , que identifica cada elemento, y la propiedad Fuera de alcance , que significa eliminar el elemento y sus interacciones de la array de generación de amenazas para que no se cuente al enumerar las amenazas potenciales. 

Cada uno de estos componentes tiene ciertos atributos personalizables donde cada uno de ellos tiene un valor predeterminado predefinido, por lo que depende del usuario establecer estos valores o no. 
En el próximo artículo (es decir, el Conjunto 2) analizaremos la lista de atributos de cada componente y cómo generar el informe de amenazas. 

Referencias: 

Publicación traducida automáticamente

Artículo escrito por rashi_garg y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *