La modelación de riesgos es el proceso mediante el cual los ingenieros pueden representar de manera estructurada todas las amenazas posibles que podrían afectar la seguridad de una aplicación.
Las violaciones de seguridad son una preocupación constante al desarrollar y mantener una aplicación, ya que los usuarios malintencionados se vuelven cada vez más avanzados con el tiempo al atacar a horas vulnerables y / o dejar atrás una ruta rastreable para atacar nuevamente sin posible detección.
Al desarrollar para la modelación de riesgos, los ingenieros deben pensar en todas las amenazas potenciales que rodean a su aplicación y encontrar respuestas para estas violaciones de seguridad. Comprenda que las amenazas pueden ser causadas por usuarios internos que cometen errores simples o por usuarios externos que realizan ataques maliciosos. Algunas amenazas también pueden ser completamente ajenas a la seguridad y están más en el lado “natural” de cosas como un accidente con la instalación en la que se basan los servidores.
Al realizar procesos de modelación de riesgos, estamos tratando de optimizar la seguridad de nuestra aplicación mediante la identificación de vulnerabilidades clave, sin embargo, la pregunta que queda es: ¿Cuándo debemos abordar esto? La respuesta es simple: comience temprano e implemente con frecuencia. La inclusión de modelación de riesgos al inicio del proyecto permite a los ingenieros refinar sus procesos (para que el modelado sea más simple más adelante) y también brinda la oportunidad de examinar vulnerabilidades, estudiar lo que está en juego y decidir qué riesgos vale la pena correr.
El tiempo promedio entre el inicio de una violación de seguridad y su detección promedia 230 días, este es un tiempo largo que permite a los atacantes hacer básicamente lo que quieran con las aplicaciones. Al implementar a menudo aumentamos las posibilidades de encontrar estas amenazas.
Una de las mayores ventajas de la modelación de riesgos es que es escalable, nos permite refinar continuamente nuestros procesos basándose en lo que hemos hecho antes.
En Rootstack, entendemos la importancia de tener un software seguro y estable. Implementamos las mejores prácticas para el modelado de amenazas con nuestros servicios DevOps.