Amenaza (computadora)

Posible acción o evento negativo facilitado por una vulnerabilidad

En seguridad informática , una amenaza es una posible acción o evento negativo facilitado por una vulnerabilidad que resulta en un impacto no deseado en un sistema o aplicación informática.

Una amenaza puede ser un evento negativo " intencional " (es decir, piratería informática: un cracker individual o una organización criminal) o un evento negativo " accidental " (por ejemplo, la posibilidad de que una computadora funcione mal o la posibilidad de un desastre natural como un terremoto , un incendio o un tornado ) o de otro modo una circunstancia, capacidad, acción o evento. ^[1]

Esto se diferencia de un actor de amenaza que es un individuo o grupo que puede realizar la acción de amenaza, como explotar una vulnerabilidad para actualizar un impacto negativo.

Se puede encontrar una definición más completa, vinculada al punto de vista de garantía de la información , en " Estándares federales de procesamiento de información (FIPS) 200, Requisitos mínimos de seguridad para información federal y sistemas de información " del NIST de los Estados Unidos de América ^[2]

Cualquier circunstancia o evento con el potencial de impactar negativamente las operaciones organizacionales (incluyendo misión, funciones, imagen o reputación), activos organizacionales o individuos a través de un sistema de información mediante acceso no autorizado, destrucción, divulgación, modificación de información y/o denegación de información. servicio. Además, la posibilidad de que una fuente de amenaza explote con éxito una vulnerabilidad particular del sistema de información .

El Glosario Nacional de Garantía de la Información define amenaza como:

Cualquier circunstancia o evento con el potencial de impactar negativamente a un SI a través de acceso no autorizado, destrucción, divulgación, modificación de datos y/o denegación de servicio.

ENISA da una definición similar: ^[3]

Cualquier circunstancia o evento con el potencial de impactar negativamente un activo [G.3] mediante acceso no autorizado, destrucción, divulgación, modificación de datos y/o denegación de servicio.

El Open Group define amenaza como: ^[4]

Cualquier cosa que sea capaz de actuar de manera que resulte en daño a un activo y/u organización; por ejemplo, actos fortuitos (clima, eventos geológicos, etc.); actores maliciosos; errores; fracasos .

El análisis factorial del riesgo de la información define la amenaza como: ^[5]

Las amenazas son cualquier cosa (por ejemplo, objeto, sustancia, ser humano, etc.) que sea capaz de actuar contra un activo de una manera que pueda resultar en daño. Un tornado es una amenaza, como lo es una inundación, como lo es un hacker. La consideración clave es que las amenazas aplican la fuerza (agua, viento, código de explotación, etc.) contra un activo que puede causar un evento de pérdida.

El Centro Nacional de Educación y Capacitación en Aseguramiento de la Información ofrece una definición más articulada de amenaza : ^{[6] [7]}

Los medios a través de los cuales puede manifestarse la capacidad o intención de un agente de amenaza de afectar negativamente a un sistema, instalación u operación automatizada. Categorice y clasifique las amenazas de la siguiente manera: Categorías Clases Humanas Intencionales No intencionales Ambientales Naturales Fabricadas 2. Cualquier circunstancia o evento con el potencial de causar daño a un sistema en forma de destrucción, divulgación, modificación de datos y/o denegación de servicio. 3. Cualquier circunstancia o evento con el potencial de causar daño al sistema o actividad de ADP en forma de destrucción, divulgación y modificación de datos, o denegación de servicio. Una amenaza es un potencial de daño. La presencia de una amenaza no significa que necesariamente causará un daño real. Las amenazas existen debido a la existencia misma del sistema o actividad y no debido a ninguna debilidad específica. Por ejemplo, la amenaza de incendio existe en todas las instalaciones independientemente de la cantidad de protección contra incendios disponible. 4. Tipos de eventos adversos relacionados con los sistemas informáticos (es decir, peligros) que pueden provocar pérdidas. Algunos ejemplos son las inundaciones, el sabotaje y el fraude. 5. Una afirmación que se refiere principalmente a entidades del entorno externo (agentes); decimos que un agente (o clase de agentes) representa una amenaza para uno o más activos; escribimos: T(e;i) donde: e es una entidad externa; i es una entidad interna o un conjunto vacío. 6. Un suceso indeseable que podría anticiparse pero que no es el resultado de un acto o decisión consciente. En el análisis de amenazas, una amenaza se define como un par ordenado, <peligro; categoría de activo>, sugiriendo la naturaleza de estos sucesos pero no los detalles (los detalles son específicos de los eventos). 7. La potencial violación de la seguridad. 8. Un conjunto de propiedades de una entidad externa específica (que puede ser un individuo o una clase de entidades) que, en unión con un conjunto de propiedades de una entidad interna específica, implica un riesgo (según un conjunto de conocimientos).

Fenomenología

El término "amenaza" se relaciona con algunos otros términos de seguridad básicos, como se muestra en el siguiente diagrama: ^[1]

 + - - - - - - - - - - - - + + - - - - + + - - - - - - - - - -+ | Un ataque: | |Contra- | | Un recurso del sistema: | | es decir, una acción de amenaza | | medida | | Objetivo del ataque | | +----------+ | | | | +-----------------+ | | | Atacante |<===================||<========= | | | | es decir, | Pasivo | | | | | Vulnerabilidad | | | | Una amenaza |<=================>||<========> | | | | Agente | o Activo | | | | +-------|||-------+ | | +----------+ Ataque | | | | VVV | | | | | | Consecuencias de la amenaza | + - - - - - - - - - - - - + + - - - - + + - - - - - - - - - -+

Un recurso (tanto físico como lógico) puede tener una o más vulnerabilidades que pueden ser explotadas por un agente de amenaza en una acción de amenaza. El resultado puede potencialmente comprometer las propiedades de confidencialidad , integridad o disponibilidad de los recursos (potencialmente diferentes al vulnerable) de la organización y de otras partes involucradas (clientes, proveedores).
La llamada tríada de la CIA es la base de la seguridad de la información .

El ataque puede estar activo cuando intenta alterar los recursos del sistema o afectar su funcionamiento: por lo que compromete la Integridad o la Disponibilidad. Un " ataque pasivo " intenta aprender o hacer uso de información del sistema pero no afecta los recursos del sistema: por lo tanto compromete la confidencialidad. ^[1]

OWASP: relación entre agente de amenazas e impacto empresarial

OWASP (ver figura) describe el mismo fenómeno en términos ligeramente diferentes: un agente de amenaza a través de un vector de ataque explota una debilidad (vulnerabilidad) del sistema y los controles de seguridad relacionados causando un impacto técnico en un recurso (activo) de TI conectado a una empresa. impacto.

Se ha desarrollado un conjunto de políticas relacionadas con la gestión de la seguridad de la información, los Sistemas de gestión de seguridad de la información (SGSI), para gestionar, de acuerdo con los principios de gestión de riesgos , las contramedidas para cumplir con una estrategia de seguridad establecida siguiendo las reglas y regulaciones aplicables en un país. Las contramedidas también se denominan controles de seguridad; cuando se aplican a la transmisión de información se denominan servicios de seguridad . ^[8]

El panorama general representa los factores de riesgo del escenario de riesgo. ^[9]

La generalización de las dependencias informáticas y el consiguiente aumento de las consecuencias de un ataque exitoso dieron lugar a un nuevo término de guerra cibernética .

Hoy en día, muchos ataques reales explotan la psicología al menos tanto como la tecnología. El phishing , el pretexto y otros métodos se denominan técnicas de ingeniería social . ^[10] Las aplicaciones Web 2.0 , específicamente los servicios de redes sociales , pueden ser un medio para ponerse en contacto con personas encargadas de la administración del sistema o incluso de la seguridad del sistema, induciéndolos a revelar información sensible. ^[11] Un caso famoso es el de Robin Sage . ^[12]

La documentación más extendida sobre la inseguridad informática trata sobre amenazas técnicas como virus informáticos , troyanos y otros programas maliciosos , pero un estudio serio para aplicar contramedidas rentables sólo puede llevarse a cabo tras un riguroso análisis de riesgos de TI en el marco de un SGSI: un puro El enfoque técnico dejará salir los ataques psicológicos que son amenazas cada vez mayores.

Clasificación de amenazas

Las amenazas se pueden clasificar según su tipo y origen: ^[13]

• Tipos de amenazas:
  • Daños físicos: fuego, agua, contaminación.
  • Eventos naturales: climáticos, sísmicos, volcánicos.
  • Pérdida de servicios esenciales: energía eléctrica, aire acondicionado, telecomunicaciones.
  • Compromiso de la información: escuchas ilegales, robo de medios, recuperación de materiales desechados
  • Fallas técnicas: equipos, software, saturación de capacidad.
  • Compromiso de funciones: error de uso, abuso de derecho, denegación de acciones

Tenga en cuenta que un tipo de amenaza puede tener múltiples orígenes.

• Deliberado: apuntando al activo de información.
  • espionaje
  • procesamiento ilegal de datos
• Accidental
  • falla en el equipo
  • falla del software
• Ambiental
  • evento natural
  • pérdida de suministro de energía
• Negligencia: factores conocidos pero descuidados que comprometen la seguridad y sostenibilidad de la red.

Amenazas Tendencias

Las tendencias recientes en amenazas informáticas muestran un aumento de los ataques de ransomware, ataques a la cadena de suministro y malware sin archivos. Los ataques de ransomware implican el cifrado de los archivos de la víctima y la exigencia de un pago para restaurar el acceso. Los ataques a la cadena de suministro se dirigen a los eslabones más débiles de una cadena de suministro para obtener acceso a objetivos de alto valor. Los ataques de malware sin archivos utilizan técnicas que permiten que el malware se ejecute en la memoria, lo que dificulta su detección. ^[14]

Amenazas comunes

A continuación se detallan algunas amenazas emergentes comunes: -

●      Virus informáticos

●      caballos de Troya

●      Gusanos

●      Rootkits

●      Software espía

●      programas publicitarios

●      ransomware

●      Malware sin archivos

Clasificación de amenazas

Microsoft publicó un mnemotécnico, STRIDE , ^[15] de las iniciales de los grupos de amenazas:

• Falsificación de la identidad del usuario
• manipulación _
• repudiación _
• Divulgación de información ( violación de la privacidad o fuga de datos )
• Denegación de servicio (DoS)
• Elevación de privilegios

Microsoft calificó anteriormente el riesgo de amenazas a la seguridad utilizando cinco categorías en una clasificación llamada DREAD: modelo de evaluación de riesgos . Microsoft considera el modelo obsoleto. Las categorías fueron:

• Daño : ¿qué tan grave sería un ataque?
• R eproducibilidad: ¿qué tan fácil es reproducir el ataque?
• E xplotabilidad: ¿cuánto trabajo implica lanzar el ataque?
• Usuarios afectados: ¿cuántas personas se verán afectadas?
• Descubribilidad : ¿qué tan fácil es descubrir la amenaza?

El nombre DREAD proviene de las iniciales de las cinco categorías enumeradas.

La propagación de amenazas a través de una red puede provocar situaciones peligrosas. En los ámbitos militar y civil, se ha definido el nivel de amenaza: por ejemplo, INFOCON es un nivel de amenaza utilizado por Estados Unidos. Los principales proveedores de software antivirus publican el nivel de amenaza global en sus sitios web. ^{[16] [17]}

Términos asociados

Agentes o actores de amenazas.

El término agente de amenazas se utiliza para indicar un individuo o grupo que puede manifestar una amenaza. Es fundamental identificar quién querría explotar los activos de una empresa y cómo podrían utilizarlos en su contra. ^[18]

Individuos dentro de una población amenazada; Prácticamente cualquier persona y cualquier cosa puede, en las circunstancias adecuadas, ser un agente de amenaza: el operador de computadora bien intencionado pero inepto que arruina un trabajo por lotes diario escribiendo el comando incorrecto, el regulador que realiza una auditoría o la ardilla que mastica. un cable de datos. ^[5]

Los agentes de amenazas pueden tomar una o más de las siguientes acciones contra un activo: ^[5]

• Acceso: acceso simple no autorizado
• Uso indebido: uso no autorizado de activos (por ejemplo, robo de identidad, configuración de un servicio de distribución de pornografía en un servidor comprometido, etc.)
• Divulgar: el agente de la amenaza revela ilícitamente información confidencial.
• Modificar: cambios no autorizados en un activo
• Denegar acceso: incluye destrucción, robo de un activo que no es de datos, etc.

Es importante reconocer que cada una de estas acciones afecta a diferentes activos de manera diferente, lo que determina el grado y la naturaleza de la pérdida. Por ejemplo, el potencial de pérdida de productividad resultante de un activo destruido o robado depende de cuán crítico sea ese activo para la productividad de la organización. Si simplemente se accede ilícitamente a un activo crítico, no hay pérdida directa de productividad. De manera similar, la destrucción de un activo altamente sensible que no desempeña un papel crítico en la productividad no resultaría directamente en una pérdida significativa de productividad. Sin embargo, ese mismo activo, si se divulga, puede resultar en una pérdida significativa de ventaja competitiva o reputación y generar costos legales. La cuestión es que es la combinación del activo y el tipo de acción contra el activo lo que determina la naturaleza fundamental y el grado de pérdida. Las acciones que emprenda un agente amenazador dependerán principalmente del motivo de ese agente (por ejemplo, ganancia financiera, venganza, recreación, etc.) y la naturaleza del activo. Por ejemplo, es menos probable que un agente de amenazas empeñado en obtener ganancias financieras destruya un servidor crítico que robe un activo fácil de robar, como una computadora portátil. ^[5]

Es importante separar el concepto de evento en el que un agente amenazador entre en contacto con el activo (incluso virtualmente, es decir, a través de la red) y el evento de que un agente amenazante actúe contra el activo. ^[5]

OWASP recopila una lista de posibles agentes de amenazas para evitar que los diseñadores y programadores de sistemas inserten vulnerabilidades en el software. ^[18]

Agente de amenazas = Capacidades + Intenciones + Actividades pasadas

Estos individuos y grupos se pueden clasificar de la siguiente manera: ^[18]

• No específicos de objetivos: Los agentes de amenazas no específicos de objetivos son virus informáticos, gusanos, troyanos y bombas lógicas.
• Empleados: personal, contratistas, personal operativo/de mantenimiento o guardias de seguridad que están molestos con la empresa.
• Crimen organizado y delincuentes: Los delincuentes atacan información que es de valor para ellos, como cuentas bancarias, tarjetas de crédito o propiedad intelectual que puede convertirse en dinero. Los delincuentes a menudo recurren a personas internas para ayudarlos.
• Corporaciones: Las corporaciones participan en una guerra de información ofensiva o inteligencia competitiva. Los socios y competidores entran en esta categoría.
• Humano, Involuntario: Accidentes, descuidos.
• Humano, intencional: interno, externo.
• Naturales: Inundaciones, incendios, relámpagos, meteoritos, terremotos.

Fuente de amenaza

Las fuentes de amenaza son aquellas que desean que se produzca un compromiso. Es un término utilizado para distinguirlos de los agentes/actores de amenazas que son los que llevan a cabo el ataque y a quienes la fuente de la amenaza puede encargar o persuadir para que, consciente o inconscientemente, lleven a cabo el ataque. ^[19]

Comunidades de amenazas

Comunidades de amenazas

Subconjuntos de la población general de agentes de amenazas que comparten características clave. La noción de comunidades de amenazas es una herramienta poderosa para comprender a quién y a qué nos enfrentamos cuando intentamos gestionar el riesgo. Por ejemplo, la probabilidad de que una organización sea objeto de un ataque de la comunidad de amenaza terrorista dependería en gran parte de las características de su organización en relación con los motivos, intenciones y capacidades de los terroristas. ¿Está la organización estrechamente afiliada a una ideología que entra en conflicto con grupos terroristas activos conocidos? ¿Representa la organización un objetivo de alto perfil y alto impacto? ¿Es la organización un objetivo fácil? ¿Cómo se compara la organización con otros objetivos potenciales? Si la organización fuera atacada, ¿qué componentes de la organización serían posibles objetivos? Por ejemplo, ¿qué probabilidades hay de que los terroristas apunten a la información o los sistemas de la empresa? ^[5]

Las siguientes comunidades de amenazas son ejemplos del panorama de amenazas humanas maliciosas que enfrentan muchas organizaciones:

• Interno
  • Empleados
  • Contratistas (y proveedores)
  • Socios
• Externo
  • Ciberdelincuentes (hackers profesionales)
  • espías
  • Hackers no profesionales
  • Activistas
  • Los servicios de inteligencia de los estados-nación (por ejemplo, homólogos de la CIA, etc.)
  • Autores de malware (virus/gusanos/etc.)

Acción amenazante

La acción contra amenazas es un asalto a la seguridad del sistema.
Una arquitectura de seguridad completa se ocupa tanto de actos intencionales (es decir, ataques) como de eventos accidentales. ^[20]

Varios tipos de acciones de amenaza se definen como subentradas en "consecuencias de la amenaza".

Análisis de amenazas

El análisis de amenazas es el análisis de la probabilidad de ocurrencia y consecuencias de acciones dañinas para un sistema. ^[1] Es la base del análisis de riesgos .

Modelado de amenazas

El modelado de amenazas es un proceso que ayuda a las organizaciones a identificar y priorizar amenazas potenciales a sus sistemas. Implica analizar la arquitectura del sistema, identificar amenazas potenciales y priorizarlas en función de su impacto y probabilidad. Al utilizar modelos de amenazas, las organizaciones pueden desarrollar un enfoque proactivo de seguridad y priorizar sus recursos para abordar los riesgos más importantes. ^[21]

Inteligencia de amenazas

La inteligencia de amenazas es la práctica de recopilar y analizar información sobre amenazas potenciales y actuales a una organización. Esta información puede incluir indicadores de compromiso, técnicas de ataque y perfiles de actores de amenazas. Al utilizar la inteligencia sobre amenazas, las organizaciones pueden desarrollar una mejor comprensión del panorama de amenazas y mejorar su capacidad para detectar y responder a las amenazas. ^[22]

Consecuencia de la amenaza

La consecuencia de una amenaza es una violación de la seguridad que resulta de una acción de amenaza. ^[1]
Incluye divulgación, engaño, perturbación y usurpación.

Las siguientes subentradas describen cuatro tipos de consecuencias de amenazas y también enumeran y describen los tipos de acciones de amenaza que causan cada consecuencia. ^[1] Las acciones de amenaza que son eventos accidentales están marcadas con "*".

"Divulgación no autorizada" (una consecuencia de amenaza)

Una circunstancia o evento por el cual una entidad obtiene acceso a datos para los cuales no está autorizada. (Ver: confidencialidad de datos). Las siguientes acciones de amenaza pueden provocar una divulgación no autorizada:

"Exposición"

Una acción de amenaza mediante la cual datos confidenciales se divulgan directamente a una entidad no autorizada. Esto incluye:

"Exposición deliberada"

Divulgación intencional de datos confidenciales a una entidad no autorizada.

" Buscando basura "

Buscar entre residuos de datos en un sistema para obtener conocimiento no autorizado de datos confidenciales.

* " Error humano "

Acción o inacción humana que involuntariamente da como resultado que una entidad obtenga conocimiento no autorizado de datos confidenciales.

* "Error de hardware/software"

Falla del sistema que resulta en que una entidad obtenga conocimiento no autorizado de datos confidenciales.

" Interceptación ":

Una acción de amenaza mediante la cual una entidad no autorizada accede directamente a datos confidenciales que viajan entre fuentes y destinos autorizados. Esto incluye:

" Robo "

Obtener acceso a datos confidenciales robando un envío de un medio físico, como una cinta o un disco magnético, que contiene los datos.

"Escuchas telefónicas (pasivas)"

Monitorear y registrar datos que fluyen entre dos puntos en un sistema de comunicación. (Ver: escuchas telefónicas ).

"Análisis de emanaciones"

Obtener conocimiento directo de los datos comunicados monitoreando y resolviendo una señal emitida por un sistema y que contiene los datos pero no está destinada a comunicarlos.

" Inferencia "

Una acción de amenaza mediante la cual una entidad no autorizada accede indirectamente a datos confidenciales (pero no necesariamente a los datos contenidos en la comunicación) razonando a partir de características o subproductos de las comunicaciones. Esto incluye:

" Análisis de tráfico "

Adquirir conocimiento de los datos mediante la observación de las características de las comunicaciones que los transportan.

"Análisis de señales"

Obtener conocimiento indirecto de los datos comunicados mediante el monitoreo y análisis de una señal emitida por un sistema y que contiene los datos pero no está destinada a comunicarlos.

"Intrusión"

Una acción de amenaza mediante la cual una entidad no autorizada obtiene acceso a datos confidenciales eludiendo las protecciones de seguridad de un sistema. Esto incluye:

"Pecado"

Obtener acceso físico no autorizado a datos confidenciales eludiendo las protecciones de un sistema.

"Penetración"

Obtener acceso lógico no autorizado a datos confidenciales eludiendo las protecciones de un sistema.

" Ingeniería inversa "

Adquirir datos confidenciales mediante el desmontaje y análisis del diseño de un componente del sistema.

" Criptoanálisis "

Transformar datos cifrados en texto plano sin tener conocimientos previos de parámetros o procesos de cifrado.

" Engaño " (una consecuencia de la amenaza)

Una circunstancia o evento que puede resultar en que una entidad autorizada reciba datos falsos y crea que son verdaderos. Las siguientes acciones de amenaza pueden provocar engaño:

"Mascarada"

Una acción de amenaza mediante la cual una entidad no autorizada obtiene acceso a un sistema o realiza un acto malicioso haciéndose pasar por una entidad autorizada.

"Parodia"

Intento por parte de una entidad no autorizada de obtener acceso a un sistema haciéndose pasar por un usuario autorizado.

"Lógica maliciosa"

En el contexto de enmascaramiento, cualquier hardware, firmware o software (por ejemplo, un caballo de Troya) que parece realizar una función útil o deseable, pero que en realidad obtiene acceso no autorizado a los recursos del sistema o engaña a un usuario para que ejecute otra lógica maliciosa.

" Falsificación "

Una acción de amenaza mediante la cual datos falsos engañan a una entidad autorizada. (Ver: escuchas telefónicas activas.)

"Sustitución"

Alterar o sustituir datos válidos por datos falsos que sirva para engañar a una entidad autorizada.

"Inserción"

Introducir datos falsos que sirvan para engañar a una entidad autorizada.

"Repudio"

Una acción de amenaza mediante la cual una entidad engaña a otra negando falsamente la responsabilidad de un acto.

"Falsa negación de origen"

Acción por la cual el originador de un dato niega la responsabilidad por su generación.

"Falsa denegación de recepción"

Acción por la que el destinatario de los datos niega recibir y poseer los datos.

"Disrupción" (una consecuencia de la amenaza)

Una circunstancia o evento que interrumpe o impide el correcto funcionamiento de los servicios y funciones del sistema. (Ver: denegación de servicio ). Las siguientes acciones de amenaza pueden causar interrupciones:

"Incapacitación"

Una acción de amenaza que previene o interrumpe el funcionamiento del sistema al deshabilitar un componente del sistema.

"Lógica maliciosa"

En el contexto de incapacitación, cualquier hardware, firmware o software (por ejemplo, bomba lógica) introducido intencionalmente en un sistema para destruir funciones o recursos del sistema.

"Destrucción física"

Destrucción deliberada de un componente del sistema para interrumpir o impedir el funcionamiento del sistema.

* "Error humano"

Acción o inacción que involuntariamente desactiva un componente del sistema.

* "Error de hardware o software"

Error que provoca el fallo de un componente del sistema y provoca la interrupción del funcionamiento del sistema.

* "Desastre natural"

Cualquier desastre natural (p. ej., incendio, inundación, terremoto, relámpago o viento) que deshabilite un componente del sistema. ^[20]

" Corrupción "

Una acción de amenaza que altera indeseablemente el funcionamiento del sistema al modificar negativamente las funciones o los datos del sistema.

" Manipulación "

En el contexto de corrupción, alteración deliberada de la lógica, los datos o la información de control de un sistema para interrumpir o impedir el correcto funcionamiento de las funciones del sistema.

"Lógica maliciosa"

En el contexto de corrupción, cualquier hardware, firmware o software (por ejemplo, un virus informático) introducido intencionalmente en un sistema para modificar funciones o datos del sistema.

* "Error humano"

Acción o inacción humana que involuntariamente resulta en la alteración de funciones o datos del sistema.

* "Error de hardware o software"

Error que produce la alteración de funciones o datos del sistema.

* "Desastre natural"

Cualquier evento natural (por ejemplo, sobretensión causada por un rayo) que altere las funciones o los datos del sistema. ^[20]

"Obstrucción"

Una acción de amenaza que interrumpe la prestación de servicios del sistema al obstaculizar las operaciones del sistema.

" Interferencia "

Interrupción de las operaciones del sistema mediante el bloqueo de comunicaciones o datos del usuario o información de control.

"Sobrecarga"

Obstáculo al funcionamiento del sistema al imponer una carga excesiva a las capacidades de rendimiento de un componente del sistema. (Ver: inundaciones ).

" Usurpación " (una consecuencia de amenaza)

Una circunstancia o evento que resulta en el control de los servicios o funciones del sistema por parte de una entidad no autorizada. Las siguientes acciones de amenaza pueden causar usurpación:

" Apropiación indebida "

Una acción de amenaza mediante la cual una entidad asume control lógico o físico no autorizado de un recurso del sistema.

"Robo de servicio"

Uso no autorizado del servicio por parte de una entidad.

"Robo de funcionalidad"

Adquisición no autorizada de hardware, software o firmware real de un componente del sistema.

"Robo de datos"

Adquisición y uso no autorizado de datos.

" Mal uso "

Una acción de amenaza que hace que un componente del sistema realice una función o servicio que es perjudicial para la seguridad del sistema.

"Manosear"

En el contexto de mal uso, alteración deliberada de la lógica, los datos o la información de control de un sistema para hacer que el sistema realice funciones o servicios no autorizados.

"Lógica maliciosa"

En el contexto de uso indebido, cualquier hardware, software o firmware introducido intencionalmente en un sistema para realizar o controlar la ejecución de una función o servicio no autorizado.

"Violación de permisos "

Acción de una entidad que excede los privilegios del sistema de la entidad al ejecutar una función no autorizada.

Panorama o entorno de amenazas

Una colección de amenazas en un dominio o contexto particular, con información sobre activos vulnerables identificados, amenazas, riesgos, actores de amenazas y tendencias observadas. ^{[23] [24]}

Gestión de amenazas

Las amenazas deben gestionarse operando un SGSI, realizando todas las actividades de gestión de riesgos de TI previstas por las leyes, estándares y metodologías.

Las organizaciones muy grandes tienden a adoptar planes de gestión de la continuidad del negocio para proteger, mantener y recuperar procesos y sistemas críticos para el negocio. Algunos de estos planes prevén la creación de un equipo de respuesta a incidentes de seguridad informática ( CSIRT ) o un equipo de respuesta a emergencias informáticas ( CERT )

Existe algún tipo de verificación del proceso de gestión de amenazas:

• Auditoría de seguridad de la información.
• Prueba de penetración

La mayoría de las organizaciones realizan un subconjunto de estos pasos y adoptan contramedidas basadas en un enfoque no sistemático: la inseguridad informática estudia el campo de batalla de las vulnerabilidades de seguridad informática y las defensas resultantes.

La concienciación sobre la seguridad de la información es un mercado importante (consulte la categoría: Empresas de seguridad informática ). Se ha desarrollado una gran cantidad de software para hacer frente a las amenazas de TI, incluido software de código abierto (consulte la categoría: software de seguridad gratuito ) y software propietario (consulte la categoría: empresas de software de seguridad informática para obtener una lista parcial).

Gestión de amenazas cibernéticas

La gestión de amenazas implica una amplia variedad de amenazas, incluidas amenazas físicas como inundaciones e incendios. Si bien el proceso de evaluación de riesgos del SGSI incorpora la gestión de amenazas cibernéticas, como los desbordamientos remotos del búfer, el proceso de evaluación de riesgos no incluye procesos como la gestión de inteligencia de amenazas o los procedimientos de respuesta.

La gestión de amenazas cibernéticas (CTM) se está convirtiendo en la mejor práctica para gestionar las amenazas cibernéticas más allá de la evaluación de riesgos básica que se encuentra en el SGSI. Permite la identificación temprana de amenazas, conciencia situacional basada en datos, toma de decisiones precisa y acciones oportunas para mitigar amenazas. ^[25]

La marca comunitaria incluye:

• Recopilación de inteligencia manual y automatizada y análisis de amenazas.
• Metodología integral para el monitoreo en tiempo real que incluye técnicas avanzadas como el modelado de comportamiento.
• Uso de análisis avanzados para optimizar la inteligencia, generar inteligencia de seguridad y proporcionar conocimiento de la situación.
• Tecnología y personas capacitadas que aprovechan la conciencia situacional para permitir decisiones rápidas y acciones automatizadas o manuales.

caza de amenazas

La caza de amenazas cibernéticas es "el proceso de búsqueda proactiva e iterativa a través de redes para detectar y aislar amenazas avanzadas que evaden las soluciones de seguridad existentes". ^[26] Esto contrasta con las medidas tradicionales de gestión de amenazas, como firewalls , sistemas de detección de intrusiones y SIEM , que normalmente implican una investigación después de que ha habido una advertencia de una amenaza potencial o de que ha ocurrido un incidente.

La búsqueda de amenazas puede ser un proceso manual, en el que un analista de seguridad analiza diversos datos utilizando su conocimiento y familiaridad con la red para crear hipótesis sobre amenazas potenciales. Sin embargo, para ser aún más eficaz y eficiente, la búsqueda de amenazas puede automatizarse parcialmente o también ser asistida por máquinas. En este caso, el analista utiliza software que aprovecha el aprendizaje automático y el análisis del comportamiento de usuarios y entidades (UEBA) para informarle sobre riesgos potenciales. Luego, el analista investiga estos riesgos potenciales y rastrea comportamientos sospechosos en la red. Por tanto, la caza es un proceso iterativo, lo que significa que debe llevarse a cabo continuamente en un bucle, comenzando con una hipótesis. Hay tres tipos de hipótesis:

• Impulsado por análisis: "Aprendizaje automático y UEBA, utilizados para desarrollar puntuaciones de riesgo agregadas que también pueden servir como hipótesis de caza" ^[27]
• Impulsado por el conocimiento de la situación: "Análisis de la joya de la corona, evaluaciones de riesgos empresariales, tendencias a nivel de empresa o empleado" ^[27]
• Basado en inteligencia: "Informes de inteligencia de amenazas, fuentes de inteligencia de amenazas, análisis de malware, escaneos de vulnerabilidades" ^[27]

El analista investiga su hipótesis analizando grandes cantidades de datos sobre la red. Luego, los resultados se almacenan para que puedan usarse para mejorar la parte automatizada del sistema de detección y sirvan como base para futuras hipótesis.

El Instituto SANS ha realizado investigaciones y encuestas sobre la eficacia de la búsqueda de amenazas para rastrear e interrumpir a los ciberadversarios lo antes posible en su proceso. Según una encuesta realizada en 2019, "el 61% [de los encuestados] informan al menos una mejora mensurable del 11% en su postura general de seguridad" y el 23,6% de los encuestados ha experimentado una "mejora significativa" en la reducción del tiempo de permanencia . ^[28]

Mitigación de amenazas

Para protegerse de las amenazas informáticas, es esencial mantener el software actualizado, utilizar contraseñas seguras y únicas y tener cuidado al hacer clic en enlaces o descargar archivos adjuntos. Además, utilizar software antivirus y realizar copias de seguridad periódicas de sus datos puede ayudar a mitigar el impacto de una amenaza.

Ver también

• Caza de amenazas cibernéticas
• Explotar (seguridad informática)
• Grupo de Trabajo de Ingeniería de Internet (IETF)
• Auditoría de seguridad de la información.
• Seguridad de información
• Sistema de detección de intrusos
• riesgo de TI
• Seguridad física
• Gestión de vulnerabilidades

Referencias

1. Grupo de trabajo de ingeniería de Internet RFC 2828 Glosario de seguridad de Internet
2. "Estándares federales de procesamiento de información (FIPS) 200, requisitos mínimos de seguridad para información federal y sistemas de información" (PDF) . Carc.nist.gov . Consultado el 5 de noviembre de 2013 .
3. "Glosario - ENISA". Enisa.europa.eu. 24 de julio de 2009 . Consultado el 5 de noviembre de 2013 .
4. Taxonomía de riesgos de la norma técnica ISBN 1-931624-77-1 Número de documento: C081 Publicado por The Open Group, enero de 2009. 
5. "Introducción al análisis factorial de riesgo de la información (FAIR)" (PDF) . Riskmanagementinsight.com . Noviembre de 2006. Archivado desde el original (PDF) el 18 de noviembre de 2014 . Consultado el 5 de noviembre de 2013 .
6. Schou, Corey (1996). Manual de términos de INFOSEC, versión 2.0. CD-ROM (Universidad Estatal de Idaho y Organización de Seguridad de Sistemas de Información)
7. "Glosario de términos". Niatec.info . 12 de diciembre de 2011 . Consultado el 13 de febrero de 2012 .
8. Wright, Joe; Jim Harmening (2009). "15". En Vacca, John (ed.). Manual de seguridad informática y de la información . Publicaciones de Morgan Kaufmann. Elsevier Inc. pág. 257.ISBN _ 978-0-12-374354-1.
9. "ISACA EL MARCO DE RIESGO TI" (PDF) . Isaca.org . Consultado el 5 de noviembre de 2013 . ( Se requiere registro )
10. Ingeniería de seguridad: una guía para construir sistemas distribuidos confiables, segunda edición, Ross Anderson, Wiley, 2008 - 1040 páginas ISBN 978-0-470-06852-6 , Capítulo 2, página 17 
11. Brian Prince (7 de abril de 2009). "Uso de Facebook para realizar ingeniería social en materia de seguridad". Eweek.com . Consultado el 5 de noviembre de 2013 .
12. "Ingeniería social a través de redes sociales". Networkworld.com . 4 de octubre de 2010 . Consultado el 13 de febrero de 2012 .
13. ISO/IEC, "Tecnología de la información - Técnicas de seguridad-Gestión de riesgos de seguridad de la información" ISO/IEC FIDIS 27005:2008
14. "Tendencias, estadísticas y hechos de ransomware en 2023". Seguridad . Consultado el 9 de mayo de 2023 .
15. "El modelo de amenaza STRIDE". msdn.microsoft.com . 12 de noviembre de 2009 . Consultado el 28 de marzo de 2017 .
16. "Inteligencia sobre amenazas de McAfee | McAfee, Inc". Mcafee.com . Consultado el 13 de febrero de 2012 .
17. "Amenazacon - Symantec Corp". Symantec.com . 10 de enero de 2012 . Consultado el 13 de febrero de 2012 .
18. "Categoría: Agente de amenazas". OWASP. 9 de diciembre de 2011 . Consultado el 13 de febrero de 2012 .
19. Evaluación de riesgos técnicos del Estándar No. 1 de HMG IA
20. "PUBLICACIÓN DE NORMAS FEDERALES DE PROCESAMIENTO DE INFORMACIÓN FIPS PUB 31: JUNIO DE 1974" (PDF) . Tricare.mil . Consultado el 5 de noviembre de 2013 .^{[ enlace muerto permanente ]}
21. "Modelado de amenazas | Fundación OWASP". owasp.org . Consultado el 9 de mayo de 2023 .
22. "¿Qué es la inteligencia contra amenazas? | IBM". www.ibm.com . Consultado el 9 de mayo de 2023 .
23. Guía de buenas prácticas y panorama de amenazas de ENISA para hogares inteligentes y medios convergentes (1 de diciembre de 2014)
24. Panorama de amenazas de ENISA 2013: descripción general de las ciberamenazas actuales y emergentes (11 de diciembre de 2013)
25. "¿Qué es la gestión de amenazas cibernéticas?". ioctm.org . Consultado el 28 de enero de 2015 .
26. "Caza de amenazas cibernéticas: cómo esta estrategia de detección de vulnerabilidades brinda una ventaja a los analistas - TechRepublic". República Tecnológica . Consultado el 7 de junio de 2016 .
27. "Caza de amenazas cibernéticas: Sqrrl". sqrrl . Consultado el 7 de junio de 2016 .
28. Fuchs, Mathías; Limón, Josué. "Encuesta SANS 2019 sobre caza de amenazas: las diferentes necesidades de los cazadores nuevos y experimentados" (PDF) . Instituto SANS . págs.2, 16. Archivado (PDF) desde el original el 1 de marzo de 2022 . Consultado el 11 de mayo de 2022 .

enlaces externos

• Término en FISMApedia
• Marco de gestión de amenazas cibernéticas