Puede ser muy difícil diseñar y desarrollar un sistema seguro. El modelado de amenazas proporciona un enfoque viable para fortalecer la seguridad de un sistema residencial. Implica mirar un sistema desde la perspectiva de un atacante concebible, a diferencia de la perspectiva de un defensor, lo que lo convierte en un factor crítico para mejorar la seguridad (Tankard, 2022). Las personas pueden abordar el modelado de amenazas de manera diferente, pero generalmente se puede descomponer en cinco pasos de alto nivel. Los pasos bajo el modelo se documentan e implementan como un modelo de amenaza final para la aplicación en el sistema residencial.
Paso 1: Identificar los objetivos de seguridad
El proceso de modelado de amenazas comienza por tener una comprensión clara de los requisitos del sistema de seguridad residencial y la identificación de las amenazas probables. En un lugar residencial, los habitantes pueden estar principalmente preocupados por la seguridad de sus hogares y posesiones (Tankard, 2022). Por lo tanto, el objetivo del sistema sería:
- Para asegurar las posesiones dentro de la residencia de la amenaza de incendio o robo.
- Asegurar la residencia contra el acceso no esencial de las personas.
- Para proteger la información contenida en diferentes dispositivos en la residencia que podrían ser privados y confidenciales, asegurando que las personas con malas intenciones no puedan iniciar sesión en las computadoras, teléfonos móviles y otros dispositivos.
Paso 2: Identificar activos y dependencias externas
Las amenazas ocurren principalmente porque las partes injustificadas pueden tener acceso a activos dentro del área residencial. Es por eso que el enfoque de modelado de amenazas requiere la identificación de una lista de activos que deben protegerse de posibles ataques (Viswanathan & Jayagopal, 2021). La lista de activos dentro de un área residencial incluye:
- Computadora y dispositivos móviles.
- Varios dispositivos electrónicos (incluidos televisores, cocinas, microondas y consolas de juegos).
- Otras posesiones individuales (como bicicleta, motocicleta, automóvil, armas de fuego, muebles, joyas y equipos para reparaciones y ejercicio).
Además, es vital que se identifiquen las dependencias externas que pueden no ser parte del código pero que pueden presentar un riesgo para el sistema. El enfoque principal debe ser el acceso al servidor de Internet, la comunicación de la base de datos dentro de una red privada o pública y el acceso al vecindario.
Paso 3: Identificar zonas de confianza
La documentación de la zona de confianza y los puntos de entrada-salida coincidentes pueden ayudar a crear diagramas de flujo de datos con periferias definidas. Esto ayuda a formular el enfoque para el manejo de errores, la autenticación de usuarios y la verificación de datos de entrada (Tankard, 2022). En la unidad residencial, las zonas verdaderas se definen como cajas fuertes para guardar archivos confidenciales, armas de fuego y dinero en efectivo. También podría haber una oficina o habitación cerrada con llave donde se guardan las computadoras y los dispositivos esenciales.
Paso 4: Identificar posibles amenazas y vulnerabilidades
Algunas amenazas y vulnerabilidades generales pueden afectar el sistema de seguridad en un área residencial. Estos pueden incluir puertas, ventanas y puertas estándar en las que se puede entrar, compartir el acceso a Internet, políticas de contraseñas débiles, cifrado personalizado, cámaras de seguridad y cerraduras electrónicas.
Paso 5: Documentar el modelo de amenaza
El paso final consiste en documentar el modelo de amenaza definido, que es un componente crítico de las responsabilidades del equipo en el diseño de un sistema seguro. Establecer el modelo de amenaza en el área residencial proporciona una táctica de seguridad para mitigar los riesgos de seguridad y encontrar debilidades en el sistema para mejorar la seguridad y probar las zonas de confianza.