STRIDE es un modelo de amenazas desarrollado por Praerit Garg y Loren Kohnfelder en Microsoft [1] para identificar amenazas a la seguridad informática . [2] Proporciona un mnemónico para las amenazas a la seguridad en seis categorías. [3]
Las amenazas son:
- S poofing
- T ampering
- R epudio
- I divulgación nformación ( violación de la privacidad o datos gotean )
- D enial de servicio
- E levación de privilegios [4]
STRIDE se creó inicialmente como parte del proceso de modelado de amenazas . STRIDE es un modelo de amenazas que se utiliza para ayudar a razonar y encontrar amenazas a un sistema. Se utiliza junto con un modelo del sistema de destino que se puede construir en paralelo. Esto incluye un desglose completo de procesos, almacenes de datos, flujos de datos y límites de confianza. [5]
Hoy en día, los expertos en seguridad lo utilizan a menudo para ayudar a responder la pregunta "¿qué puede salir mal en este sistema en el que estamos trabajando?"
Cada amenaza es una violación de una propiedad deseable para un sistema:
Amenaza | Propiedad deseada |
---|---|
Spoofing | Autenticidad |
Manipulación | Integridad |
Repudio | No repudiabilidad |
Divulgación de información | Confidencialidad |
Negación de servicio | Disponibilidad |
Elevación de privilegios | Autorización |
Notas sobre las amenazas
El repudio es inusual porque es una amenaza cuando se ve desde una perspectiva de seguridad y una propiedad deseable de algunos sistemas de privacidad, por ejemplo, el sistema de mensajería " Off the Record " de Goldberg . Esta es una demostración útil de la tensión con la que a veces debe lidiar el análisis de diseño de seguridad.
La elevación de privilegios a menudo se denomina escalada de privilegios o escalada de privilegios. Son sinónimos.
Ver también
- Árbol de ataque : otro enfoque para el modelado de amenazas a la seguridad, derivado del análisis de dependencia
- Ciberseguridad y contramedidas
- DREAD (modelo de evaluación de riesgos) : otro mnemónico para las amenazas a la seguridad
- OWASP : organización dedicada a mejorar la seguridad de las aplicaciones web a través de la educación
- CIA también conocida como AIC [¿ por quién? ] [ cita requerida ] - otro mnemónico para un modelo de seguridad para construir seguridad en los sistemas de TI
Referencias
- ^ Shostack, Adam. " " Las amenazas a nuestros productos " " . Blog de Microsoft SDL . Microsoft . Consultado el 18 de agosto de 2018 .
- ^ Kohnfelder, Loren; Garg, Praerit (1 de abril de 1999). "Las amenazas a nuestros productos" . Interfaz de Microsoft . Consultado el 18 de agosto de 2018 .
- ^ "El modelo de amenaza STRIDE" . Microsoft . Microsoft.
- ^ Guzmán, Aaron; Gupta, Aditya (2017). Libro de cocina de pruebas de penetración de IoT: identifique vulnerabilidades y proteja sus dispositivos inteligentes . Packt Publishing. págs. 34–35. ISBN 978-1-78728-517-0.
- ^ Shostack (2014). Modelado de amenazas: diseño para la seguridad . Wiley. págs. 61–64. ISBN 978-1118809990.