Amenazas de Microsoft Threat Modeling ToolMicrosoft Threat Modeling Tool threats

Threat Modeling Tool es un elemento básico del Ciclo de vida de desarrollo de seguridad (SDL) de Microsoft.The Threat Modeling Tool is a core element of the Microsoft Security Development Lifecycle (SDL). Permite a los arquitectos de software identificar y mitigar los posibles problemas de seguridad en una fase temprana, cuando son relativamente sencillos y poco costosos de resolver.It allows software architects to identify and mitigate potential security issues early, when they are relatively easy and cost-effective to resolve. En consecuencia, reduce en gran medida el costo total de desarrollo.As a result, it greatly reduces the total cost of development. Además, hemos diseñado la herramienta pensando en expertos no relacionados con la seguridad, lo que facilita el modelado de amenazas para todos los programadores, ya que se proporcionan instrucciones claras sobre cómo crear y analizar los modelos de amenazas.Also, we designed the tool with non-security experts in mind, making threat modeling easier for all developers by providing clear guidance on creating and analyzing threat models.

Visite Threat Modeling Tool .Visit the Threat Modeling Tool to get started today!

La Herramienta de modelado de amenazas le ayuda a dar respuesta a determinadas preguntas como las siguientes:The Threat Modeling Tool helps you answer certain questions, such as the ones below:

  • ¿Cómo puede cambiar un atacante los datos de autenticación?How can an attacker change the authentication data?
  • ¿Cuál es el impacto si un atacante puede leer los datos del perfil de usuario?What is the impact if an attacker can read the user profile data?
  • ¿Qué ocurre si se deniega el acceso a la base de datos del perfil de usuario?What happens if access is denied to the user profile database?

Modelo STRIDESTRIDE model

Para ayudarle a formular mejor los tipos de pregunta planteados, Microsoft utiliza el modelo STRIDE, que clasifica los distintos tipos de amenazas y simplifica las conversaciones de seguridad global.To better help you formulate these kinds of pointed questions, Microsoft uses the STRIDE model, which categorizes different types of threats and simplifies the overall security conversations.

CategoríaCategory DESCRIPCIÓNDescription
Suplantación de identidadSpoofing Implica el acceso y uso ilícitos de la información de autenticación de otro usuario, como el nombre de usuario y la contraseña.Involves illegally accessing and then using another user's authentication information, such as username and password
Alteración de datosTampering Implica la modificación malintencionada de los datos.Involves the malicious modification of data. Entre los ejemplos se incluyen los cambios no autorizados realizados en los datos persistentes, como los que se encuentran en una base de datos, y la alteración de datos a medida que fluyen entre dos equipos a través de una red abierta, como Internet.Examples include unauthorized changes made to persistent data, such as that held in a database, and the alteration of data as it flows between two computers over an open network, such as the Internet
RechazoRepudiation Está asociado a usuarios que deniegan la ejecución de una acción sin que otras partes tengan forma alguna de comprobarlo de otro modo, por ejemplo, un usuario realiza una operación ilegal en un sistema que no tiene la capacidad de realizar el seguimiento de las operaciones prohibidas.Associated with users who deny performing an action without other parties having any way to prove otherwise—for example, a user performs an illegal operation in a system that lacks the ability to trace the prohibited operations. El no rechazo hace referencia a la capacidad de un sistema de contrarrestar las amenazas de rechazo.Non-Repudiation refers to the ability of a system to counter repudiation threats. Por ejemplo, es posible que un usuario que adquiera un elemento deba firmar por el elemento al recibirlo.For example, a user who purchases an item might have to sign for the item upon receipt. El proveedor puede utilizar el recibo firmado como prueba de que el usuario ha recibido el paquete.The vendor can then use the signed receipt as evidence that the user did receive the package
Divulgación de informaciónInformation Disclosure Implica la exposición de información a personas que no deberían tener acceso a ella, por ejemplo, la capacidad de los usuarios de leer un archivo al que no se les ha concedido acceso o la capacidad de un intruso de leer datos en tránsito entre dos equipos.Involves the exposure of information to individuals who are not supposed to have access to it—for example, the ability of users to read a file that they were not granted access to, or the ability of an intruder to read data in transit between two computers
Denegación de servicioDenial of Service Los ataques por denegación de servicio (DoS) deniegan el servicio a usuarios válidos, por ejemplo, al hacer que un servidor web esté temporalmente inutilizable o no disponible.Denial of service (DoS) attacks deny service to valid users—for example, by making a Web server temporarily unavailable or unusable. Debe protegerse contra determinado tipo de amenazas de denegación de servicio simplemente para mejorar la confiabilidad y disponibilidad del sistema.You must protect against certain types of DoS threats simply to improve system availability and reliability
Elevación de privilegiosElevation of Privilege Un usuario sin privilegios obtiene acceso con privilegios y, por tanto, tiene acceso suficiente para poner en peligro o destruir todo el sistema.An unprivileged user gains privileged access and thereby has sufficient access to compromise or destroy the entire system. Entre las amenazas de elevación de privilegios se incluyen aquellas situaciones en las que un atacante ha superado de manera eficaz todas las defensas del sistema y se ha convertido en parte del sistema de confianza en sí, una situación verdaderamente peligrosa.Elevation of privilege threats include those situations in which an attacker has effectively penetrated all system defenses and become part of the trusted system itself, a dangerous situation indeed

Pasos siguientesNext steps

Continúe con Mitigaciones de Threat Modeling Tool para conocer las distintas maneras en que puede mitigar estas amenazas con Azure.Proceed to Threat Modeling Tool Mitigations to learn the different ways you can mitigate these threats with Azure.