Las amenazas de ciberseguridad son abundantes y están en constante cambio. Es por eso que el modelado de amenazas, diagramando varias amenazas e impactos, es una práctica crítica y necesaria para prepararse para cualquier amenaza que se presente.
El modelado de amenazas, al igual que el análisis FODA, ayuda a las empresas a construir un esquema de defensa contra amenazas bien equilibrado y en constante evolución. Cuando se planifican e implementan adecuadamente, los modelos de amenazas de ciberseguridad garantizarán que cada rincón y grieta de sus redes y aplicaciones permanezcan protegidos ahora y a medida que surjan nuevas amenazas.
Entendiendo el modelado de amenazas
Este es un diagrama de un modelo de amenaza VAST teórico que ilustra la conexión entre amenazas, vulnerabilidades, posibles objetivos (activos) y capacidades de respuesta. 
¿Quieres aprender más sobre Software de Inteligencia de Amenazas? Explora los productos de Inteligencia de Amenazas.
¿Qué es una amenaza?
Una amenaza se refiere a cualquier método que partes no autorizadas pueden usar para acceder a información sensible, redes y aplicaciones. Algunas de estas amenazas pueden tomar la forma de virus informáticos, botnets, ataques a aplicaciones y estafas de phishing, entre otros.
Estas son algunas amenazas comunes para las que las empresas deben planificar utilizando técnicas de modelado de amenazas:
Malware — Malware, abreviatura de software malicioso, es una categoría de amenazas de ciberseguridad que incluye amenazas como virus informáticos, spyware y adware. Es una de las amenazas más comunes que afectan tanto a empresas como a individuos.
Las empresas pueden usar el modelado de amenazas para asegurarse de que sus cortafuegos estén adecuadamente preparados, que las vulnerabilidades de día cero se minimicen y que se documenten nuevos exploits o firmas de malware. Una planificación adecuada, junto con software antivirus y otros programas de seguridad, garantizará que las redes no sean comprometidas por malware.
Ataques DDoS — Los ataques DDoS (denegación de servicio distribuida) son un método de bombardear sitios web y aplicaciones web con enormes solicitudes de tráfico que sobrecargan los servidores en los que están alojados. Estos ataques son impulsados por miles de bots y son indistinguibles de los usuarios legítimos que intentan acceder al sitio.
Las empresas pueden modelar sus planes de defensa y respuesta para prevenir que esto ocurra. Las empresas pueden usar software de protección DDoS, software de balanceo de carga y software de monitoreo de redes para mejorar su capacidad de descubrir ataques DDoS temprano, balancear cargas adecuadamente y restringir el acceso al tráfico de visitantes maliciosos.
Phishing — El phishing es un método para obtener información de usuario a través de comunicaciones fraudulentas dirigidas directamente a las personas. A menudo se realiza a través de correos electrónicos disfrazados de provenir de una fuente legítima, pero que entregan la información del objetivo a la fuente real del hacker.
El phishing puede permitir a los hackers acceder a información sensible o aplicaciones privilegiadas. Las empresas pueden prevenir este tipo de ciberdelito mediante el uso de software de seguridad de correo electrónico para filtrado e identificación, junto con capacitación en concienciación sobre seguridad para garantizar que los empleados puedan identificar comunicaciones fraudulentas.
¿Qué es el modelado de amenazas?
El modelado de amenazas es una forma de planificar y optimizar las operaciones de seguridad de la red. Los equipos de seguridad establecen sus objetivos, identifican vulnerabilidades y delinean planes de defensa para prevenir y remediar amenazas de ciberseguridad.
Estos son algunos componentes del modelado de amenazas que pueden usarse para mejorar las operaciones de seguridad y su efectividad:
Diseño seguro — El diseño seguro es necesario durante el desarrollo de aplicaciones para garantizar la identificación y prevención de vulnerabilidades. El análisis de código y las pruebas de seguridad durante todas las etapas del desarrollo pueden ayudar a garantizar que los errores, fallos y otras vulnerabilidades se minimicen.
Las empresas pueden analizar su código en busca de fallos conocidos durante el desarrollo o de manera dinámica mientras una aplicación se ejecuta, y realizar pruebas de penetración después del desarrollo. Los datos resultantes se utilizan para planificar la mitigación de ataques futuros e implementar actualizaciones relacionadas con nuevas amenazas.
Inteligencia de amenazas — Es importante mantener una base de datos actualizada de amenazas y vulnerabilidades para garantizar que las aplicaciones, los puntos finales y las redes estén preparadas para defenderse contra amenazas emergentes. Estas bases de datos pueden consistir en información pública, residir en software de inteligencia de amenazas propietario o ser construidas internamente.
Identificación de activos — Es importante mantener los activos de TI y software debidamente documentados en todo momento. Sin un seguimiento y documentación adecuados, estos activos pueden poseer fallos conocidos que no se identifiquen. Nuevos activos, incluso potencialmente peligrosos de terceros, pueden estar accediendo a las redes sin el conocimiento de los equipos de seguridad.
Capacidades de mitigación — Las capacidades de mitigación se refieren a la capacidad de un equipo de seguridad para detectar y resolver ataques a medida que surgen. Esto puede significar la identificación de tráfico malicioso y la eliminación de malware, o simplemente referirse a contactar a su proveedor de servicios de seguridad gestionada. De cualquier manera, la mitigación es esencial para una planificación efectiva para que los equipos sean conscientes de su capacidad para combatir amenazas con sus recursos existentes.
Evaluación de riesgos — Después de que se determine que el código de la aplicación es seguro y los puntos finales se implementen adecuadamente, las empresas pueden evaluar el riesgo general de sus diversos componentes de TI. Los componentes pueden ser puntuados y clasificados o simplemente identificados como "en riesgo". De cualquier manera, serán identificados y asegurados en orden de importancia.
Mapeo y modelado — Estos métodos se combinan para construir flujos de trabajo visuales y planes de operaciones de seguridad con el objetivo de resolver problemas existentes y planificar futuras amenazas. Este tipo de modelado de amenazas se basa en un enfoque de múltiples ángulos y requiere que las amenazas se planifiquen desde todos los ángulos posibles.
Los modelos de amenazas que carecen de un componente de medidas de planificación adecuadas pueden dejar activos susceptibles a ataques. Una implementación adecuada conducirá a una mitigación de amenazas más rápida en escenarios del mundo real y simplificará los procesos operativos asociados con la detección, mitigación y análisis.
Métodos de modelado de amenazas
Las amenazas mencionadas anteriormente pueden prevenirse utilizando una serie de diferentes tácticas de modelado de amenazas. La siguiente sección describe algunas de las formas más comunes en que las empresas planifican y operacionalizan sus modelos de amenazas:
STRIDE — STRIDE (Suplantación, Manipulación, Repudio, Divulgación de información, Denegación de servicio, Elevación de privilegios) es un modelo de amenaza temprano desarrollado por empleados de Microsoft a finales de los años 90. Todavía se utiliza como un modelo de proceso para los equipos de ciberseguridad.
El modelo responde a la pregunta: "¿Qué puede salir mal en este sistema en el que estamos trabajando?" Puede usarse tanto como un método para recordar tipos de amenazas como una forma de emparejar amenazas con objetivos.
PASTA — PASTA (Proceso para la Simulación de Ataques y Análisis de Amenazas) es un proceso de modelado de siete pasos utilizado para definir objetivos, requisitos y procedimientos para las operaciones de seguridad. Los siete pasos son:
- Definir objetivos
- Definir alcance
- Descomposición de la aplicación
- Análisis de amenazas
- Detección de vulnerabilidades
- Enumeración de ataques
- Análisis de riesgos
El método ayuda a los profesionales de seguridad a construir procesos flexibles de identificación, enumeración y puntuación de amenazas. PASTA proporciona una estructura de análisis centrada en el atacante para ayudar a los usuarios a construir una estrategia de respuesta centrada en los activos.
VAST — VAST (Modelado de Amenazas Visual, Ágil y Simple) es un proceso de modelado maleable y escalable para la planificación de seguridad a lo largo del ciclo de vida del desarrollo de software. Se basa en tres pilares: automatización, integración y colaboración. El modelo se centra en resultados accionables y las necesidades únicas de desarrolladores, personal de seguridad y ejecutivos.
VAST puede usarse tanto para el modelado de amenazas operativas como de aplicaciones y utiliza diagramas de flujo de trabajo para ilustrar amenazas, activos, vulnerabilidades y herramientas de remediación de una manera comprensible. También está diseñado para reflejar los procesos operativos existentes de los equipos de desarrollo de software ágil.
No hay una solución mágica para la planificación de operaciones de seguridad, y diferentes métodos de modelado pueden adaptarse mejor a algunas empresas que a otras. Es importante entender sus procesos existentes de desarrollo, gestión de TI y operaciones de seguridad antes de decidirse por un formato de modelado.
Estos modelos también pueden usarse en conjunto para ilustrar o complementar el software de seguridad.
Visite nuestras categorías de software de gestión de vulnerabilidades y software de seguridad de aplicaciones para encontrar las herramientas que su equipo necesita para organizar y ejecutar operaciones de seguridad de manera efectiva.
Aaron Walker
Aaron has been researching security, cloud, and emerging technologies with G2 for more than half a decade. Over that time he's outlined, defined, and maintained a large portion of G2's taxonomy related to cybersecurity, infrastructure, development, and IT management markets. Aaron utilizes his relationships with vendors, subject-matter expertise, and familiarity with G2 data to help buyers and businesses better understand emerging challenges, solutions, and technologies. In his free time, Aaron enjoys photography, design, Chicago sports and lizards.
