¿Falla el modelado de amenazas?

Se habla bastante del tema de modelado de amenazas pero no hay (o yo no conozco) muchos sitios donde uno pueda aprender a hacerlo bien: los que saben, es porque conocen su contexto y tienen cierta experiencia; los que conocen nuestro contexto, no siempre saben de seguridad.
En Why Threat Modelling fails in practice hablan del tema.

Dice hacia el final:

Threat modelling therefore reveals itself to be theoretically sound but not necessarily helpful. It is then no surprise that SSL performed perfectly against its chosen threats, but did little to offend the risks that users face. Indeed, arguably, as much as it might have stopped some risks, it helped other risks to proceed in natural evolution. Because SSL dealt perfectly with all its chosen threats, it ended up providing a false sense of false security against harm-incurring risks (remember SSL & Firewalls?).

Al final, un tema del que hemos hablado otras veces: lo que parece seguro no siempre lo es; a veces, incluso puede perjudicar la percepción de los que lo usan y hacerles creer que tienen comportamientos razonables y conseguir que se confíen.

Un pensamiento en “¿Falla el modelado de amenazas?

  1. Y hablando de lo dañina que puede ser esa percepción de seguridad, vaya usted a convencer a «la autoridad» de que alguien ha accedido inadecuadamente a los datos de conexión con su banco, o a su wifi casera… A ver quién le pone el cascabel al juez :-D

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s