Modelado de Amenazas 101.2: Metodologías de Modelado de Amenazas

En la primera entrada de esta serie sobre el modelado de amenazas, abordamos los conceptos básicos y presentamos un ejemplo práctico de cómo aplicar el modelado de amenazas en un partido de fútbol. En esta segunda entrada, nos centraremos en las metodologías de modelado de amenazas más populares y cómo pueden ayudarnos a identificar y gestionar los riesgos de manera efectiva. Analizaremos STRIDE, PASTA, VAST y MITRE ATT&CK, explicando sus diferencias, aplicaciones y cómo elegir la metodología más adecuada para su proyecto o actividad.

STRIDE

STRIDE es una metodología de modelado de amenazas desarrollada por Microsoft que se centra en la identificación de amenazas en aplicaciones de software. El acrónimo STRIDE representa las siguientes categorías de amenazas:

  • Spoofing (Falsificación)
  • Tampering (Manipulación)
  • Repudiation (Repudio)
  • Information disclosure (Divulgación de información)
  • Denial of service (Negación de servicio)
  • Elevation of privilege (Elevación de privilegios)
  • STRIDE es particularmente útil para analizar aplicaciones desde el punto de vista de la seguridad durante el diseño y desarrollo. La metodología ayuda a identificar las amenazas y a clasificarlas en las categorías mencionadas anteriormente, lo que facilita la priorización y aplicación de controles de seguridad adecuados.

En el sitio de Microsoft pueden encontrar un juego de cartas llamado EoP (Elevation of Privilege), las cuales recomiendo para jugar con los equipos de desarrollo y arquitectura de software ya que contienen cartas con explicaciones y escenarios de amenazas mediante el uso de STRIDE.

Amenazas usando STRIDE

Para aplicar STRIDE en un partido de fútbol, debemos considerar el evento como un sistema y las interacciones entre los componentes (jugadores, entrenadores, árbitros, etc.) como posibles puntos de amenaza. A continuación, se muestra cómo categorizar algunas amenazas según STRIDE:

  • Spoofing (Falsificación): Un jugador intenta engañar al árbitro fingiendo una falta para obtener una ventaja.
  • Tampering (Manipulación): Un jugador altera el balón o el campo de juego para obtener una ventaja injusta.
  • Repudiation (Repudio): Un jugador niega haber cometido una falta a pesar de las evidencias.
  • Information disclosure (Divulgación de información): La estrategia del equipo se filtra a sus oponentes antes del partido.
  • Denial of service (Negación de servicio): Un jugador es expulsado o lesionado, lo que afecta la capacidad del equipo para jugar eficazmente.
  • Elevation of privilege (Elevación de privilegios): Un jugador intenta realizar acciones que están fuera de su posición o responsabilidad, como tomar decisiones tácticas que son responsabilidad del entrenador.

Controles basados en STRIDE

AmenazaControl
Spoofing (Falsificación)Capacitar a los árbitros para reconocer y sancionar el engaño, y utilizar la tecnología de asistencia arbitral (VAR) para corroborar las decisiones.
Tampering (Manipulación):Establecer protocolos de inspección para el campo y el equipo antes de los partidos, y asignar personal responsable para garantizar la integridad del juego.
Repudiation (Repudio)Utilizar grabaciones de video y otros registros para garantizar la responsabilidad de los jugadores y confirmar la validez de las sanciones impuestas.
Information disclosure (Divulgación de información)Implementar políticas de confidencialidad y limitar el acceso a las estrategias de juego solo al personal autorizado.
Denial of service (Negación de servicio)Establecer protocolos de sustitución y prevención de lesiones para mantener el rendimiento del equipo.
Elevation of privilege (Elevación de privilegios):Definir claramente las responsabilidades de cada miembro del equipo y capacitarlos para cumplir con sus roles asignados.

PASTA

PASTA (Process for Attack Simulation and Threat Analysis) es una metodología basada en el análisis de riesgos que se centra en la identificación de amenazas y vulnerabilidades desde la perspectiva del atacante. PASTA consta de siete fases:

  • Definición del alcance y los objetivos
  • Identificación y clasificación de los activos
  • Análisis de vulnerabilidades y debilidades
  • Análisis de amenazas y agentes de amenaza
  • Modelado y simulación de ataques
  • Análisis de riesgos y priorización
  • Desarrollo e implementación de estrategias de mitigación

Esta metodología es útil para abordar la seguridad desde una perspectiva más amplia, incluidos los sistemas, las redes y las aplicaciones, y es especialmente efectiva para modelar y analizar las tácticas y técnicas utilizadas por los atacantes en diferentes escenarios. Utilicé por varios años esta metodología y le guardo mucho aprecio ya que fue la que utilicé en mi proyecto de fin de maestría.

Aplicando P.A.S.T.A

Para aplicar la metodología PASTA en un partido de fútbol, podríamos seguir estos pasos:

  • Definir el alcance: Enfocarse en la seguridad y el rendimiento de los jugadores durante el partido.
  • Identificar y clasificar los activos: Jugadores, estrategias de juego, estado físico de los jugadores, etc.
  • Análisis de vulnerabilidades: Falta de entrenamiento, lesiones previas, debilidades en la táctica, etc.
  • Análisis de amenazas y agentes de amenaza: Oponentes, árbitros parciales, condiciones climáticas adversas, etc.
  • Modelar y simular ataques: Evaluar cómo un oponente podría explotar las debilidades identificadas.
  • Análisis de riesgos y priorización: Determinar qué riesgos son más probables o tendrán un mayor impacto en el desempeño del equipo.
  • Desarrollo e implementación de estrategias de mitigación: Establecer controles para reducir los riesgos, como mejorar la táctica, fortalecer la defensa, etc

Controles

  • Controles físicos: Implementar un programa de acondicionamiento físico personalizado para prevenir lesiones y mejorar el rendimiento de los jugadores.
  • Controles tácticos: Desarrollar y practicar diversas tácticas y estrategias para adaptarse a diferentes situaciones de juego y contrarrestar las amenazas del equipo rival.
  • Controles de comunicación: Fomentar la comunicación efectiva entre los jugadores y el personal técnico para identificar y abordar rápidamente los problemas durante el juego.
  • Controles de entrenamiento: Ofrecer sesiones de capacitación y desarrollo para mejorar las habilidades técnicas y tácticas de los jugadores.

VAST

VAST (Visual, Agile and Simple Threat Modeling) es una metodología creada por la empresa Threat Modeler, esta metodología busca simplificar y agilizar el proceso de modelado de amenazas. VAST hace hincapié en la colaboración entre los diferentes equipos involucrados en un proyecto, como desarrolladores, arquitectos y especialistas de seguridad. La metodología VAST se basa en tres principios clave:

  • Visual: Utiliza diagramas y representaciones visuales para facilitar la comunicación y la comprensión de las amenazas y vulnerabilidades.
  • Agile: Se integra fácilmente en los procesos de desarrollo ágil, permitiendo una evaluación continua de las amenazas durante todo el ciclo de vida del proyecto.
  • Simple: Se enfoca en simplificar y desmitificar el modelado de amenazas, haciéndolo accesible para todos los miembros del equipo

VAST en un partido de fútbol

Al aplicar la metodología VAST en un partido de fútbol, podríamos:

  • Visual: Crear diagramas de flujo de datos para representar las interacciones entre los jugadores, el campo de juego, el balón y otros componentes del sistema de fútbol.
  • Agile: Integrar el análisis de amenazas en las reuniones periódicas del equipo, permitiendo una evaluación continua y adaptación a nuevas amenazas y vulnerabilidades.
  • Simple: Capacitar a todos los miembros del equipo (jugadores, entrenadores, personal médico, etc.) para participar en el proceso de modelado de amenazas, compartiendo sus conocimientos y preocupaciones de manera efectiva.

MITRE ATT&CK

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) es un marco de referencia desarrollado por MITRE Corporation para comprender las tácticas, técnicas y procedimientos (TTP) utilizados por los atacantes en un contexto de ciberseguridad. MITRE ATT&CK es usado principalmente para los siguientes casos de uso

  • Detección y Análisis
  • Inteligencia de Amenazas
  • Simulación de adversarions y Ejercicios de Equipo Rojo (Red Teaming)
  • Evaluaciones e Ingeniería

Aunque inicialmente fue diseñado para abordar amenazas cibernéticas, los principios y conceptos del marco ATT&CK pueden adaptarse y aplicarse a situaciones fuera del ámbito de seguridad, como en nuestro caso; el fútbol.

Aplicación en el fútbol:

Para aplicar el marco MITRE ATT&CK en un partido de fútbol, se pueden identificar y analizar las tácticas, técnicas y procedimientos empleados por el equipo rival (adversario) para predecir y contrarrestar sus acciones.

A continuación, se presentan algunos ejemplos de cómo se podrían aplicar los conceptos del marco ATT&CK al análisis de amenazas en el fútbol:

Tácticas:

Identificar las tácticas generales empleadas por el equipo rival, como la formación, el estilo de juego y las estrategias ofensivas y defensivas.

  • Contraataque rápido: El equipo rival es conocido por aprovechar la velocidad de sus delanteros para lanzar contraataques rápidos cuando recuperan la posesión del balón.
  • Jugadas a balón parado: El equipo rival tiene un alto porcentaje de goles anotados a partir de tiros libres, tiros de esquina y penaltis.

Técnicas:

Analizar las técnicas específicas utilizadas por los jugadores del equipo rival, como movimientos individuales, habilidades de regate y precisión en los pases.

Procedimientos:

Estudiar los procedimientos y patrones de comportamiento del equipo rival, como la forma en que realizan los saques de banda, los tiros de esquina y las jugadas a balón parado.

Controles potenciales para mitigar vulnerabilidades:

  • Defensa en bloque: Ajustar la táctica defensiva para mantener un bloque compacto y reducir los espacios que los delanteros rápidos del equipo rival pueden explotar en un contraataque.
  • Entrenamiento en marcaje y cobertura: Practicar situaciones de uno contra uno en las que los defensores aprendan a lidiar con la velocidad y el regate de los delanteros rivales, y asegurarse de que siempre haya un defensor listo para brindar cobertura en caso de que su compañero sea superado.
  • Evitar faltas innecesarias cerca del área: Instruir a los jugadores para que eviten cometer faltas cerca del área, reduciendo así las oportunidades para que el especialista en tiros libres del equipo rival tenga oportunidades de anotar.
  • Estudio y preparación para las jugadas a balón parado: Analizar las tendencias y patrones en los tiros de esquina y tiros libres del equipo rival, y preparar a los jugadores para defender adecuadamente estas situaciones.
  • Comunicación entre los jugadores: Fomentar la comunicación constante entre los jugadores en el campo para anticipar y reaccionar rápidamente a las jugadas del equipo rival. Esto puede incluir avisar a los compañeros sobre los movimientos de los delanteros y coordinar el marcaje y las coberturas defensivas.
  • Fortalecer el mediocampo: Reforzar la presencia en el mediocampo, asegurando que los jugadores estén en posición para interrumpir los pases largos y mantener la posesión del balón, lo que puede ayudar a limitar las oportunidades del equipo rival para lanzar contraataques.
  • Establecer una estrategia ofensiva: Desarrollar una estrategia ofensiva que tenga en cuenta las debilidades del equipo rival. Por ejemplo, si el equipo rival es vulnerable a los centros al área, practicar jugadas específicas para aprovechar esta debilidad y crear oportunidades de gol.
  • Análisis continuo y ajustes tácticos: Monitorear y analizar el desempeño del equipo durante el partido, y estar dispuesto a realizar ajustes tácticos si es necesario. Esto puede incluir cambios en la formación, sustituciones de jugadores o modificaciones en las instrucciones dadas a los jugadores en el campo.

Al aplicar el marco MITRE ATT&CK en el contexto de un partido de fútbol, los equipos pueden obtener una comprensión más profunda de las amenazas que enfrentan y desarrollar estrategias y controles efectivos para abordar estas amenazas y mejorar su rendimiento en el campo.

Navegador de Tácticas y Técnicas

ATT&CK es la metodología que más utilizo; casi que la uso a diario no solo para modelado de amenazas si no también para ejercicios de Threat Hunting, Simulación de Adversarios, e investigación de incidentes de seguridad. Es por eso que hace unos días luego de un catastrófico resultado del equipo de mis amores (Manchester United) durante un partido contra Sevilla (Gracias Harry Maguire), decidí hacer algo diferente para enseñar a mis alumnos los conceptos de Tácticas, Técnicas y Procedimientos; he aquí una versión futbolera de ATT&CK (versión beta)

Bienvenidos los comentarios y observaciones para mejorar esta matriz 🙂

Espero les haya gustado esta entrada, en unos días publicaré una nueva entrada sobre algunas herramientas y técnicas para el modelado de amenazas.

Saludos 🤘

Deja un comentario