Cuando se realiza un Threat Modeling, o modelado de amenazas, durante la revisión de código, es importante seguir un proceso estructurado. El objetivo es identificar, evaluar y reducir los riesgos de seguridad asociados a una aplicación.
Este proceso puede dividirse en tres fases principales:
1. Descomposición de la Aplicación
El primer paso consiste en comprender la aplicación y sus interacciones con entidades externas. Esto implica la creación de casos de uso para analizar cómo se utiliza la aplicación, la identificación de los puntos de entrada donde un posible atacante podría interactuar con la aplicación, la localización de los activos que podrían ser de interés para un atacante y la definición de los niveles de confianza, que representan los derechos de acceso concedidos a las entidades externas. Esta información se documenta en un modelo de amenazas, que también incluye diagramas de flujo de datos (DFD) que muestran las rutas de los datos a través del sistema, destacando los límites de privilegio.
2. Identificación y Clasificación de Amenazas
Una vez descompuesta la aplicación, el siguiente paso es determinar y clasificar las amenazas. Este proceso requiere el uso de una metodología de categorización de amenazas, como el modelo STRIDE, que ayuda a identificar sistemáticamente las amenazas basadas en objetivos comunes de los atacantes, como la suplantación de identidad (spoofing), la manipulación de datos, la denegación de servicio, etc. Cada amenaza identificada se analiza más a fondo para comprender su impacto potencial y la facilidad con la que puede ser explotada, lo que permite crear una lista priorizada de las amenazas que deben mitigarse.
3. Contramedidas y Mitigación
Después de identificar las amenazas, es esencial determinar las contramedidas que se deben implementar para mitigar los riesgos asociados. Las contramedidas pueden incluir controles de seguridad, modificaciones en el diseño de la aplicación o incluso la eliminación de funcionalidades que presentan riesgos demasiado elevados. En algunos casos, puede ser aceptable asumir un riesgo si las contramedidas son demasiado costosas o complejas de implementar, siempre y cuando el riesgo esté documentado y gestionado adecuadamente.
El Threat Modeling permite abordar las amenazas más críticas de manera eficaz, reduciendo al mínimo las vulnerabilidades de la aplicación y mejorando su seguridad en general.
🔙 ¡Vuelve a la miniserie de ISGroup SRL dedicada a la Code Review!