Los profesionales de la seguridad presionan por un modelo de amenazas más generalizado



Con el lanzamiento del «Manifiesto de modelado de amenazas», un grupo de 16 profesionales de la seguridad espera impulsar a más empresas a considerar las amenazas al program.

Durante un ejercicio de modelado de amenazas para un gran equipo de desarrollo, la hacker y defensora de la seguridad Alyssa Miller se sorprendió cuando un desarrollador comentó que sería genial que el equipo se cambiara a un marco de desarrollo de program DevOps.

¿El mistake? Ese modelado de amenazas ya no sería necesario bajo una metodología de desarrollo de application ágil. Sin embargo, la disciplina es ampliamente aplicable a todos los aspectos del negocio, incluido el desarrollo y los ciclos de vida del software DevOps, dice Miller.

«La actitud de muchas organizaciones es que ven a DevOps como incompatible con el modelado de amenazas porque el modelado de amenazas se ve tradicionalmente como una tarea enorme y onerosa», dice. «Pero si comprende el propósito del modelado de amenazas, puede optimizarlo y hacerlo de una manera diferente que encaje en DevOps».

El 17 de noviembre, Miller y otros 14 profesionales de la seguridad publicaron el «Manifiesto de modelado de amenazas, «un documento que detalla los principios generales de cuál es la mejor manera de considerar los vectores de ataque en el software package. Como modelo, el documento utiliza el estilo y el contenido del»Manifiesto ágil, «una declaración publicada por 17 desarrolladores hace casi dos décadas que estableció objetivos simples y elegantes para desarrolladores de application ágiles.

Los defensores del modelado de amenazas apuntan a simplificar la disciplina a sus conceptos esenciales con la esperanza de hacer que el modelado de amenazas sea más preferred, dice Chris Romeo, director ejecutivo de Stability Journey, un programa de capacitación en seguridad de aplicaciones.

«El objetivo es intentar resolver este problema común: ¿cuáles son los principios que usamos para impulsar el modelado de amenazas en nuestra práctica diaria?» él dice. «No es una guía práctica. No es una metodología específica. Se trata de cómo hacemos que las personas comprendan el modelado de amenazas y lo implementen en sus organizaciones».

El «Manifiesto Agile» unique surgió de los principios detrás de una serie de metodologías de desarrollo, como scrum y programación pragmática. El «Manifiesto de modelado de amenazas» resume los procesos actuales de seguridad de aplicaciones para application ágil en cuatro preguntas básicas: ¿En qué estamos trabajando? ¿Qué puede ir mal? ¿Qué vamos a hacer al respecto? ¿Hicimos un trabajo suficientemente bueno?

Además, el manifiesto intenta enfocar a los desarrolladores en cinco valores: cultura de seguridad, enfoque en las personas, tratar la seguridad como un viaje, refinamiento continuo y modelar amenazas, en lugar de hablar sobre el proceso.

«Creemos que seguir las pautas del Manifiesto dará como resultado un modelado de amenazas más efectivo y productivo», afirmó el grupo en el documento. «A su vez, esto le ayudará a desarrollar con éxito aplicaciones, sistemas y organizaciones más seguros y protegerlos de las amenazas a sus datos y servicios. El Manifiesto contiene strategies, pero no es un procedimiento y es independiente de la metodología».

Las empresas que evitan el modelado frequent de amenazas se exponen a un mayor riesgo de compromiso. Muchas empresas colocan el modelado de amenazas, o, más específicamente, la huella digital o la identificación de la superficie de ataque, detrás de los indicadores de compromiso e inteligencia de amenazas en términos de importancia, según el «Encuesta 2020 SANS Cyber ​​Threat Intelligence (CTI). «

Al simplificar el modelado de amenazas, el grupo de seguridad espera aumentar las probabilidades de que las empresas, y en individual los desarrolladores, incluyan modelos de amenazas en sus procesos. Miller recomienda que los desarrolladores y los equipos de seguridad de aplicaciones escriban información sobre amenazas en un lenguaje sencillo en la historia del usuario.

«Ahora todo se integra en el proceso de desarrollo de software program, donde todo fluye hacia los diversos componentes de DevOps», dice. «De todos modos, se trata de una mejora continua. Sabemos que una práctica no va a asegurar el mundo, pero queremos asegurarnos de que estemos un poco mejor mañana de lo que somos hoy».

Debido a que los desarrolladores superan en número a los profesionales de seguridad de aplicaciones (algunos expertos lo calculan en 100 a 1), el modelado de amenazas debe ser realizado por algo más que el equipo de seguridad de aplicaciones, dice Romeo de Security Journey.

«Creemos que el modelado de amenazas es el tipo de actividad más rentable que puede realizar en seguridad de aplicaciones», dice, «Todos estamos de acuerdo en que el modelado de amenazas es algo que los desarrolladores tienen que hacer. No hay forma de que los equipos de seguridad de aplicaciones pueden hacer todo el modelado de amenazas «.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Reading through, MIT&#39s Engineering Assessment, Well-known Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first