STRIDE (seguridad)
STRIDE es un modelo de amenazas desarrollado por Praerit Garg y Loren Kohnfelder en Microsoft[1] para la identificación de amenazas de seguridad informática.[2] Esta proporciona un mnemónico para las amenazas a la seguridad en seis categorías[3]
Las amenazas son:
- Suplantación de identidad de usuario
- Tampering
- Repudio
- Divulgación de información (brecha de privacidad o filtración de información)
- Denegación de servicio (D.o.S)
- Elevación de privilegios
STRIDE fue creado inicialmente como parte del proceso de modelado de amenaza. STRIDE es un modelo de amenazas, utilizado para ayudar a razonar y encontrar amenazas a un sistema. Está utilizado conjuntamente con un modelo del sistema objetivo que puede ser construido en paralelo. Esto incluye un desglose lleno de procesos, bancos de datos, flujos de datos y fronteras de confianza.[4]
Hoy es a menudo utilizado por expertos de seguridad para ayudar contestar la pregunta "¿Qué puede salir mal en el sistema en el que estamos trabajando?"
Cada amenaza es una violación de una propiedad deseable para un sistema:
Amenaza | Propiedad deseada |
---|---|
Spoofing | Autenticidad |
Tampering | Integridad |
Repudio | No repudio |
Revelación de información | Confidencialidad |
Denegación de Servicio | Disponibilidad |
Elevación de Privilegio | Autorización |
Notas en las amenazas
editarEl repudio es inusual porque es una amenaza cuándo es visto desde una perspectiva de seguridad, y a la vez una propiedad deseable de algunos sistemas privados, por ejemplo, el sistema de mensajería "extraoficial" de Goldberg. Esta es una demostración útil de la tensión que el análisis de diseño de seguridad a veces debe enfrentar.
La elevación de privilegios es a menudo llamado escalamiento de privilegios. Son sinónimos.
Véase también
editarReferencias
editar- ↑ Shostack, Adam. «"The Threats To Our Products"». Microsoft SDL Blog. Microsoft. Consultado el 18 de agosto de 2018.
- ↑ Kohnfelder, Loren; Garg, Praerit (1 de abril de 1999). «The threats to our products». Microsoft Interface. Consultado el 18 de agosto de 2018.
- ↑ «The STRIDE Threat Model». Microsoft. Microsoft.
- ↑ Shostack (2014). Threat Modeling: Designing for Security. Wiley. pp. 61-64. ISBN 978-1118809990.