Agentes o actoreseditar
El término Agente de amenaza se utiliza para indicar a un individuo o grupo que puede manifestar una amenaza. Es fundamental identificar quién querría explotar los activos de una empresa y cómo podrían usarlos contra la empresa.
Individuos dentro de una población de amenazas; Prácticamente cualquier persona y cualquier cosa puede, en las circunstancias adecuadas, ser un agente de amenaza: el operador de computadora bien intencionado, pero inepto, que destruye un trabajo por lotes diario escribiendo el comando incorrecto, el regulador realizando una auditoría o la ardilla que mastica un cable de datos.
Los agentes de amenazas pueden realizar una o más de las siguientes acciones contra un activo:
- Acceso – acceso no autorizado simple
- Uso indebido – uso no autorizado de activos (por ejemplo, robo de identidad, configuración de un servicio de distribución de pornografía en un servidor comprometido, etc.)
- Divulgar: el agente de amenaza divulga ilícitamente información sensible
- Modificar: cambios no autorizados en un activo
- Denegar el acceso: incluye la destrucción, el robo de un activo que no es de datos, etc.
Es importante reconocer que cada una de estas acciones afecta a diferentes activos de manera diferente, lo que determina el grado y la naturaleza de la pérdida. Por ejemplo, el potencial de pérdida de productividad resultante de un activo destruido o robado depende de la importancia de ese activo para la productividad de la organización. Si simplemente se accede ilícitamente a un activo crítico, no se produce una pérdida directa de productividad. Del mismo modo, la destrucción de un activo altamente sensible que no desempeña un papel crítico en la productividad no daría lugar directamente a una pérdida significativa de productividad. Sin embargo, ese mismo activo, si se revela, puede resultar en una pérdida significativa de ventaja competitiva o reputación, y generar costos legales. El punto es que es la combinación del activo y el tipo de acción contra el activo lo que determina la naturaleza fundamental y el grado de pérdida. Las acciones que tome un agente de amenaza estarán impulsadas principalmente por el motivo de ese agente (por ejemplo, ganancia financiera, venganza, recreación, etc.).) y la naturaleza del activo. Por ejemplo, un agente de amenazas empeñado en obtener ganancias financieras es menos probable que destruya un servidor crítico que que robe un activo fácilmente empeñado como una computadora portátil.
Es importante separar el concepto del evento en el que un agente de amenaza entra en contacto con el activo (incluso virtualmente, es decir, a través de la red) y el evento en el que un agente de amenaza actúa contra el activo.
OWASP recopila una lista de agentes de amenazas potenciales para evitar que los diseñadores de sistemas inserten vulnerabilidades en el software.
Agente de amenaza = Capacidades + Intenciones + Actividades pasadas
Estos individuos y grupos se pueden clasificar de la siguiente manera:
- No Específicos del Objetivo: Los agentes de Amenaza no específicos del Objetivo son virus informáticos, gusanos, troyanos y bombas lógicas.
- Empleados: Personal, contratistas, personal de operaciones / mantenimiento o guardias de seguridad que están molestos con la empresa.
- Delincuencia Organizada y Delincuentes: Los delincuentes se dirigen a información que es de valor para ellos, como cuentas bancarias, tarjetas de crédito o propiedad intelectual que se puede convertir en dinero. Los criminales a menudo hacen uso de personas de adentro para ayudarlos.
- Corporaciones: Las corporaciones se dedican a la guerra de información ofensiva o a la inteligencia competitiva. Los socios y competidores entran en esta categoría.
- Humano, Involuntario: Accidentes, descuido.
- Humano, Intencional: Insider, outsider.
- Natural: Inundaciones, incendios, relámpagos, meteoritos, terremotos.
Fuente de amenazas Edit
Las fuentes de amenazas son aquellas que desean que se produzca un compromiso. Es un término que se utiliza para distinguirlos de los agentes o agentes de amenaza que son los que llevan a cabo el ataque y que pueden ser comisionados o persuadidos por la fuente de la amenaza para llevar a cabo el ataque a sabiendas o sin saberlo.
Comunidades de amenazaseditar
Subconjuntos de comunidades de amenazas de la población general de agentes de amenaza que comparten características clave. La noción de comunidades de amenazas es una herramienta poderosa para comprender a quién y a qué nos enfrentamos mientras tratamos de gestionar el riesgo. Por ejemplo, la probabilidad de que una organización sea objeto de un ataque de la comunidad de amenazas terroristas dependerá en gran medida de las características de su organización en relación con los motivos, intenciones y capacidades de los terroristas. ¿Está la organización estrechamente afiliada a una ideología que entra en conflicto con grupos terroristas activos conocidos? ¿Representa la organización un objetivo de alto perfil y alto impacto? ¿Es la organización un objetivo fácil? ¿Cómo se compara la organización con otros objetivos potenciales? Si la organización fuera atacada, ¿qué componentes de la organización serían objetivos probables? Por ejemplo, ¿qué probabilidades hay de que los terroristas apunten a la información o los sistemas de la empresa? Las siguientes comunidades de amenazas son ejemplos del panorama de amenazas maliciosas humanas que enfrentan muchas organizaciones:
- Internos
- Empleados
- Contratistas (y proveedores)
- Socios
- Externos
- Ciberdelincuentes (hackers profesionales)
- Espías
- Hackers no profesionales
- Activistas
- Servicios de inteligencia de los Estados nacionales (p. ej., contrapartes de la CIA, etc.)
- Malware (virus/gusano / etc.) autores
Acción contra amenazas (Threat actionEdit)
La acción contra amenazas es un ataque a la seguridad del sistema.
Una arquitectura de seguridad completa se ocupa tanto de actos intencionales (es decir, ataques) como de eventos accidentales.
Varios tipos de acciones de amenaza se definen como subentradas en «consecuencia de amenaza».
Análisis de amenazaseditar
El análisis de amenazas es el análisis de la probabilidad de ocurrencias y consecuencias de acciones perjudiciales para un sistema. Es la base del análisis de riesgos.
Consecuencia de la amenazaeditar
La consecuencia de la amenaza es una violación de seguridad que resulta de una acción de amenaza.
Incluye la divulgación, el engaño, la interrupción y la usurpación.
Las siguientes subentradas describen cuatro tipos de consecuencias de amenaza, y también enumeran y describen los tipos de acciones de amenaza que causan cada consecuencia.Las acciones de amenaza que son eventos accidentales están marcadas con»*».
«divulgación no autorizada» (una consecuencia de amenaza) Una circunstancia o evento por el cual una entidad obtiene acceso a datos para los que la entidad no está autorizada. (Ver: confidencialidad de los datos.). Las siguientes acciones de amenaza pueden causar divulgación no autorizada: «Exposición» Una acción de amenaza por la que los datos confidenciales se liberan directamente a una entidad no autorizada. Esto incluye:» Exposición deliberada » Divulgación intencional de datos confidenciales a una entidad no autorizada. Búsqueda de residuos de datos en un sistema para obtener conocimiento no autorizado de datos confidenciales. * «Error humano» Acción o inacción humana que resulta involuntariamente en que una entidad obtenga conocimiento no autorizado de datos confidenciales. * Fallo del sistema de «error de hardware / software» que da lugar a que una entidad obtenga conocimiento no autorizado de datos confidenciales. «Interceptación»: Acción de amenaza por la que una entidad no autorizada accede directamente a datos confidenciales que viajan entre fuentes y destinos autorizados. Esto incluye:» Robo » Obtener acceso a datos confidenciales mediante el robo de un envío de un medio físico, como una cinta magnética o un disco, que contiene los datos. «Escuchas telefónicas (pasivas)», monitoreo y grabación de datos que fluyen entre dos puntos de un sistema de comunicación. (Ver: escuchas telefónicas.) «Análisis de emanaciones» Obtener conocimiento directo de los datos comunicados mediante el monitoreo y la resolución de una señal emitida por un sistema que contiene los datos, pero que no está destinada a comunicar los datos. «Inferencia» Acción de amenaza por la que una entidad no autorizada accede indirectamente a datos sensibles (pero no necesariamente a los datos contenidos en la comunicación) razonando a partir de características o subproductos de las comunicaciones. Esto incluye:» Análisis de tráfico » Obtener conocimiento de los datos mediante la observación de las características de las comunicaciones que transportan los datos. «Análisis de señales» Obtención de conocimiento indirecto de los datos comunicados mediante el monitoreo y análisis de una señal emitida por un sistema que contiene los datos, pero que no está destinada a comunicar los datos. «Intrusión» Una acción de amenaza mediante la cual una entidad no autorizada obtiene acceso a datos confidenciales eludiendo las protecciones de seguridad de un sistema. Esto incluye:» Entrada ilegal » Obtener acceso físico no autorizado a datos confidenciales al eludir las protecciones de un sistema. «Penetración» Obtener acceso lógico no autorizado a datos confidenciales eludiendo las protecciones de un sistema. «Ingeniería inversa» Adquisición de datos confidenciales desmontando y analizando el diseño de un componente del sistema. «Criptoanálisis» Que transforma los datos cifrados en texto plano sin tener conocimiento previo de los parámetros o procesos de cifrado. «Engaño» (una consecuencia de amenaza) Una circunstancia o evento que puede resultar en que una entidad autorizada reciba datos falsos y crea que son ciertos. Las siguientes acciones de amenaza pueden causar engaño: «Enmascaramiento» Acción de amenaza por la que una entidad no autorizada obtiene acceso a un sistema o realiza un acto malicioso haciéndose pasar por una entidad autorizada. Intento de» falsificación » por parte de una entidad no autorizada de obtener acceso a un sistema haciéndose pasar por un usuario autorizado. «Lógica maliciosa» En el contexto de la mascarada, cualquier hardware, firmware o software (por ejemplo, caballo de Troya) que parezca realizar una función útil o deseable, pero que en realidad obtenga acceso no autorizado a los recursos del sistema o engañe a un usuario para que ejecute otra lógica maliciosa. «Falsificación» Una acción de amenaza mediante la cual datos falsos engañan a una entidad autorizada. (Ver: escuchas telefónicas activas.) «Sustitución» Que altere o sustituya datos válidos por datos falsos que sirvan para engañar a una entidad autorizada. «Inserción» Que introduce datos falsos que sirven para engañar a una entidad autorizada. «Repudio» Una acción de amenaza por la que una entidad engaña a otra negando falsamente la responsabilidad de un acto. Acción de» falsa denegación de origen » por la que el originador de los datos niega la responsabilidad de su generación. Acción de «Denegación de recepción falsa» mediante la cual el destinatario de los datos niega recibir y poseer los datos. «Interrupción» (una consecuencia de amenaza) Una circunstancia o evento que interrumpe o impide el correcto funcionamiento de los servicios y funciones del sistema. (Ver: denegación de servicio.) Las siguientes acciones de amenaza pueden causar interrupción: «Incapacitación» Acción de amenaza que impide o interrumpe el funcionamiento del sistema deshabilitando un componente del sistema. «Lógica maliciosa» En el contexto de la incapacitación, cualquier hardware, firmware o software (por ejemplo, bomba lógica) introducido intencionalmente en un sistema para destruir funciones o recursos del sistema. «Destrucción física» Destrucción deliberada de un componente del sistema para interrumpir o impedir su funcionamiento. * Acción o inacción de» error humano » que inutiliza involuntariamente un componente del sistema. * Error de» hardware o software » que causa la falla de un componente del sistema y conduce a la interrupción del funcionamiento del sistema. * «Desastre natural» Cualquier desastre natural (por ejemplo, incendio, inundación, terremoto, rayo o viento) que deshabilite un componente del sistema. «Corrupción» Una acción de amenaza que altera de forma indeseable el funcionamiento del sistema modificando de forma adversa las funciones o los datos del sistema. «Manipulación» En el contexto de corrupción, alteración deliberada de la lógica, los datos o la información de control de un sistema para interrumpir o impedir el funcionamiento correcto de las funciones del sistema. «Lógica maliciosa» En el contexto de corrupción, cualquier hardware, firmware o software (por ejemplo, un virus informático) introducido intencionalmente en un sistema para modificar funciones o datos del sistema. * «Error humano» Acción o inacción humana que resulta involuntariamente en la alteración de funciones o datos del sistema. * Error de» Hardware o software » que resulta en la alteración de funciones o datos del sistema. * «Desastre natural» Cualquier evento natural (por ejemplo, sobrecarga de energía causada por un rayo) que altera las funciones o los datos del sistema. «Obstrucción» Acción de amenaza que interrumpe la prestación de servicios del sistema al obstaculizar las operaciones del sistema. Interrupción por «interferencia» de las operaciones del sistema mediante el bloqueo de comunicaciones, datos de usuario o información de control. Obstáculo de «sobrecarga» del funcionamiento del sistema al imponer una carga excesiva a las capacidades de rendimiento de un componente del sistema. (Ver: inundaciones.) «Usurpación» (una consecuencia de amenaza) Una circunstancia o evento que resulta en el control de servicios o funciones del sistema por parte de una entidad no autorizada. Las siguientes acciones de amenaza pueden causar usurpación: «Apropiación indebida» Acción de amenaza por la que una entidad asume el control lógico o físico no autorizado de un recurso del sistema. «Robo de servicio» Uso no autorizado del servicio por parte de una entidad. «Robo de funcionalidad» Adquisición no autorizada de hardware, software o firmware real de un componente del sistema. «Robo de datos» Adquisición y uso no autorizados de datos. «Uso indebido» Acción de amenaza que hace que un componente del sistema realice una función o servicio que es perjudicial para la seguridad del sistema. «Manipulación» En el contexto de uso indebido, alteración deliberada de la lógica, los datos o la información de control de un sistema para hacer que el sistema realice funciones o servicios no autorizados. «Lógica maliciosa» En el contexto del mal uso, cualquier hardware, software o firmware introducido intencionalmente en un sistema para realizar o controlar la ejecución de una función o servicio no autorizado. Acción de «violación de permisos» por parte de una entidad que excede los privilegios del sistema de la entidad al ejecutar una función no autorizada.
Panorama de amenazas o ambienteeditar
Una colección de amenazas en un dominio o contexto particular, con información sobre activos vulnerables identificados, amenazas, riesgos, agentes de amenazas y tendencias observadas.