domingo, 10 de mayo de 2020

Árboles de ataque

Análisis de Riesgos

ISO/IEC 27001:2013 Information technology 

— Security techniques
— Information security management systems
— Requirements 

  • ISO/IEC 27005:2011 
  • ISO/IEC 31000

Fases del análisis de riesgos 

  •  Establecimiento del contexto 
  •  Evaluación del riesgo 
  •  Tratamiento del riesgo 
  •  Aceptación del riesgo 
  •  Comunicación del riesgo 
  •  Monitorización y revisión del riesgo


Escenario de riesgos

Descripción del efecto de un conjunto determinado de amenazas sobre un determinado conjunto de activos, recursos y salvaguardas, teniendo en cuenta determinadas hipótesis definidas. 

Definir escenarios

Impacto en el negocio

Atributo

– Integridad 
– Confidencialidad 
– Disponibilidad 

Modelado de las amenazas

  • Es una técnica de ingeniería cuyo objetivo es ayudar a identificar y planificar de forma correcta la mejor manera de disminuir los riesgos a los que esta expuesta una organización.
  • Es un proceso que nos va a facilitar la comprensión de las diferentes amenazas a las que esta expuesta una organización o una instalación, y cuya finalidad es ayudar a determinar las medidas de protección adecuadas.
  • Se trata de identificar las amenazas y definir un plan de acción adecuado que nos permita mitigar el riesgo a unos niveles aceptables, de una forma efectiva y en base a unos costes razonables.
  • Contribuye a identificar y cumplir con los objetivos de seguridad específicos de cada entorno y facilita la priorización de tareas de protección en base al nivel de riesgo resultante.

DEBE

  • Identificar amenazas potenciales así como las condiciones necesarias para que un ataque se logre llevar a cabo con éxito.
  • Facilitar la identificación de las condiciones o aquellas vulnerabilidades que, una vez eliminadas o contrarrestadas, afectan a la probabilidad de materialización de múltiples amenazas.
  • Proporcionar información relevante sobre cuáles serían las salvaguardas más eficaces para contrarrestar un posible ataque y/o mitigar los efectos de la presencia de una vulnerabilidad en nuestra organización.
  • Proveer información sobre cómo las medidas actuales previenen la materialización de las amenazas.
  • Transmitir a la dirección la importancia de los riesgos a los que está expuesta en términos de impacto de negocio.
  • Proporcionar una estrategia sólida para evitar posibles brechas de seguridad.
  • Facilitar la comunicación y promover una mejor concienciación sobre la importancia de la seguridad.

Arboles de ataque

  • Para construir un árbol de ataque el objetivo del atacante se usa como raíz del árbol, y a partir de éste, de forma iterativa e incremental se van detallando como ramas del árbol las diferentes formas de alcanzar dicho objetivo, convirtiéndose las ramas en objetivos intermedios que a su vez pueden refinarse.
  • Al estudiar y analizar el conjunto de todos los posibles ataques a los que está expuesto un objetivo, se acaba modelando un bosque de árboles de ataque. El conjunto de ataques a estudiar está formado tanto por ataques de carácter físico como cibernético, y como se ha indicado anteriormente, se debe tener en cuenta la posibilidad de un ataque combinado.
  • Un árbol de ataque estudia y analiza cómo se puede atacar un objetivo y por tanto permite identificar qué salvaguardas se necesita desplegar para impedirlo. También permiten estudiar las actividades que tendría que desarrollar el atacante y por tanto lo que necesita saber y lo que necesita tener para realizar el ataque; de esta forma es posible determinar la probabilidad de que el ataque se produzca, si se conoce quién pudiera estar interesado en atacar el objetivo y se analiza su capacidad para disponer de la información, habilidades y recursos necesarios para llevar a cabo dicho ataque.
  • Para poder elaborar un árbol de ataque hay que analizar el escenario al que nos enfrentamos y estudiar el problema desde el punto de vista en que haría el potencial atacante.
Los árboles de ataque constituyen una documentación extremadamente valiosa para un atacante, especialmente cuando incorporan el estado actual de salvaguardas, pues facilitan en extremo su trabajo.
Son un documento clasificado y deben tomarse todas las medidas de seguridad necesarias para garantizar su confidencialidad.

NODOS


Lo más habitual, es que para alcanzar un objetivo o subobjetivo se disponga de varias alternativas (nodos OR); aunque en ocasiones se requiere la concurrencia de varias actividades (nodos AND). 

Una vez identificadas las diferentes formas de alcanzar un objetivo, los nodos del árbol se pueden enriquecer con información de detalle, que puede ser de muy diferentes tipos:

  • Conocimientos y capacidades que debe tener el atacante: ninguna experiencia, alguna experiencia, conocimientos técnicos, etc.
  • Medios económicos de los que debe disponer el atacante para preparar y ejecutar el ataque.
  • Medios materiales necesarios para la realización del ataque: tipo, coste, dificultad de obtención, etc.
  • Tiempo necesario para preparar y ejecutar el ataque
  • Riesgo para el atacante, antes, durante y después del ataque, probabilidad de detención, ¿qué consecuencias afrontaría?, etc.
Al analizar el árbol de ataque, la información de estos atributos nos va a permitir obtener escenarios simplificados de ataque:
  • Atacantes inexpertos pero muy motivados con mucha financiación
  • Atacantes profesionales pero sin capacidad de inversión (o sin necesidad de realizar una inversión adicional para perpetrar este ataque)
  • Atacantes a los que no les importa sacrificar su propia vida
  • Atacantes que quedarían impunes
  • etc.
Para alcanzar estos escenarios especializados basta eliminar del árbol las ramas que no satisfagan una condición cualitativa o cuantitativa.

  • Los cálculos son sencillos y permiten trabajar con diferentes niveles de refinamiento.
  • Los nodos OR cuestan lo que el más barato de sus hijos. Los nodos AND suman los costes.
  • En el caso de analizar conocimientos, los nodos OR requieren en conocimiento más bajo, mientras que los nodos AND requieren el conocimiento del hijo más sofisticado.
  • Para tomar decisiones combinadas hay que ir al último nodo de detalle, pues frecuentemente lo más barato y lo más sofisticado son condiciones contradictorias.

Sobre un árbol con atributos:

  • Es posible determinar el ataque más probable, simplemente extrayendo aquel ataque que requiere menos medios y menos capacidades por parte del atacante.
     
  • Es posible determinar cuál será la línea de acción de un posible perfil de atacante (que se determina en base al tipo de instalación o activo que estamos protegiendo): aquel que con menos coste satisfaga los requisitos mínimos para realizar el ataque.
Publicadas por a la/s
Etiquetas:

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)