La semana pasada hablé sobre STRIDE, como ya os comenté se
trata de una forma de categorizar las vulnerabilidades y es un concepto muy
conocido por los profesionales de la seguridad.
No obstante no es el único, ni el más completo, tiene un
hermano mayor que se llama CAPEC.
CAPEC es un directorio extremadamente completo donde se
listan las topologĂas de ataques repartidos en diferentes categorĂas y
explicando cada uno de esos ataques con un cierto grado de comprensiĂłn.
Estas son las diferentes categorĂas principales de CAPEC, rápidamente
se puede observar que es más completo y rico que STRIDE.
CAPEC incluye hasta los ataques de acceso fĂsico o el cĂłdigo
malicioso.
Esto no quiere decir que STRIDE sea peor, realmente si te
pones estas categorĂas puedes agruparlas dentro de las seis del anterior pero
si es cierto que cuando comienzas adentrarte en el mundo del modelado de
amenazas y ya controlas el juego de cartas de Microsoft echas en falta cosillas
que CAPEC te puede dar, además CAPEC está muy cerca de poder considerársele un estándar
y tiene un mantenimiento, por lo que siempre está creciendo su catálogo.
¿DĂłnde está el punto negativo?
Esto ya es una visión más subjetiva, CAPEC es todo un catálogo,
pero como sucede con los diccionarios solo nos da la definiciĂłn del concepto. Si
tú lees sopa en el diccionario verás su definición pero no la receta de cómo
hacer una o detectar cual es una sopa entre cientos de platos diferentes.
Resumiendo, se echa en falta un mayor grado de detalle en
los diferentes conceptos.
Este problema creo que lo detectĂł en su dĂa Leonardo Cavallari Militelli cuando fundĂł el
proyecto ASDR en OWASP, todo un compendio excelente de posibles ataques con informaciĂłn
muy detallada de los mismos e incluso ejemplos de cĂłdigo vulnerable/seguro en
algunos de sus conceptos.
Toda una maravilla de proyecto que dio lugar a un libro muy
extenso (598 páginas) pero que, por desgracia, murió en su versión Alpha hace
ya unos años.
La pregunta es… ¿os animáis alguno a retomar el proyecto
ASDR?
No hay comentarios:
Publicar un comentario
Esperando tu comentario...