Por qué su equipo de desarrollo necesita TARA

TARA, también conocido como análisis de amenazas y evaluación de riesgos, desempeña un papel fundamental en el desarrollo y la implementación de software. Ya sea que esté trabajando bajo ISO 21434 para componentes de automoción, IEC 62443 para trabajar con dispositivos médicos, o incluso DO-326A en aviónica, las metodologías TARA deben ser efectivas e integrables en su SDLC y ecosistema de desarrollo. Se ha producido una evolución transformadora en muchas industrias. Por ejemplo, Renovo tuvo que abordar los desafíos de seguridad y protección.

Elegir las herramientas adecuadas para complementar su TARA puede significar la diferencia entre soportar productos y servicios inseguros o entregar sistemas de software seguros y protegidos.

Este blog responde a las siguientes preguntas:

• ¿Qué es una TARA?
• ¿Por qué tu equipo necesita TARA?
• ¿Qué tipo de metodologías TARA existen?
• ¿Qué desafíos hay con TARA?
• ¿Qué herramientas TARA debemos utilizar?

¿Qué es TARA?

En pocas palabras, un análisis de amenazas y una evaluación de riesgos es un proceso para identificar posibles factores de riesgo, vulnerabilidades y elementos no conformes de su software. Ayuda a los equipos a identificar puntos inseguros o problemas de cumplimiento con su software de una manera que promueve la implementación de mitigación y seguridad antes en el SDLC.

Algunos pueden estar familiarizados con CWE o enumeración de debilidades comunes que juega un papel en el enfoque de una estrategia TARA. La seguridad del software depende de CWE, ya que hace que la gestión de vulnerabilidades sea más accesible y fácil de digerir. Aunque MITRE posee y mantiene el CWE, es un catálogo impulsado por la comunidad de varios riesgos en muchas industrias, incluida la automotriz.

Uno de los mejores ejemplos de cuándo un TARA es crítico es el cumplimiento de la norma ISO 21434. Como se describe en nuestro blog sobre ciberseguridad para la industria automotriz, TARA puede identificar debilidades y guiar a los equipos sobre cómo incorporar medidas de seguridad en su trabajo de desarrollo. Idealmente, una TARA integral y efectiva mitigará las amenazas y garantizará el cumplimiento.

¿Por qué realizar una TARA?

Una TARA bien ejecutada puede salvar a su equipo de desastres de vulnerabilidad evitables o marcar la diferencia entre cumplir o no los requisitos de seguridad. En casos drásticos, también puede ser la diferencia entre lanzar un producto o servicio o tener que dar marcha atrás, perdiendo tiempo de desarrollo y dinero.

Piénselo de la misma manera que hacerse su examen físico anual en el médico todos los años. Es un inconveniente leve que podría ayudarlo a detectar un problema antes de que se convierta en un problema mayor, ¿verdad? TARA permite a los equipos de desarrollo hacer exactamente lo mismo. La siguiente imagen muestra el proceso del método TARA.

Modelado de amenazas: pasos clave para la seguridad

Paso 1: Definir el Proyecto

Defina lo que está construyendo desde su función más básica hasta su característica más compleja. Asegúrese de catalogar todos los activos involucrados, como componentes de red, aplicaciones, etc.

Paso 2: Identificación de amenazas y evaluación de riesgos

Intentar desarrollar una estrategia contra el riesgo sin conocer las mayores amenazas es inútil. En su lugar, primero, identifique los tipos de cosas que pueden salir mal con su proyecto. ¿Están protegidos sus datos? ¿Eres vulnerable debido a bibliotecas o API de terceros? Quizás deba trabajar con tecnología propietaria con requisitos muy específicos.

Independientemente de la situación, estar al tanto de todos los tipos y vectores de amenazas potenciales es un paso crucial para desarrollar e incorporar una estrategia TARA.

Paso 3: Mitigación de amenazas

El siguiente paso natural es tomar medidas para mitigar las posibles amenazas y vectores de riesgo. Esto puede implicar la incorporación de SEI CERT, un análisis de código de seguridad, en su proceso de CI/CD. Otros métodos de prueba para mitigar posibles amenazas incluyen pruebas de seguridad API y pruebas funcionales o pruebas de sus requisitos de seguridad.

La prueba de sus requisitos de seguridad puede comenzar en la fase de verificación de la unidad de software. A continuación, pasa a la fase de verificación de integración seguida de la fase de verificación del sistema. Puede ser tan simple como utilizar una solución como Parasoft para automatizar las pruebas unitarias, las pruebas de integración, las pruebas del sistema y la cobertura de código para garantizar la integridad de las pruebas.

La generación automatizada de casos de prueba es otra capacidad poderosa que reduce el esfuerzo y el costo. Además, los informes y análisis automatizados brindan comentarios procesables para resaltar cualquier punto crítico y ayudar a mantener el proyecto en marcha y en buen estado.

Paso 4: Implementación y Validación

Este paso garantiza que, de las amenazas abordadas, ninguna permanezca por encima de los niveles de riesgo aceptados. Además, el equipo debe asegurarse de que cualquier riesgo restante también se encuentre dentro de los parámetros aceptados.

Matrices de amenazas y otras técnicas de medición

No todos los proyectos requerirán el mismo método de evaluación de riesgos. Como tal, hay varias formas en que los equipos pueden medir tanto la probabilidad como el impacto de las vulnerabilidades. Una de las opciones más populares es una matriz de amenazas como se ve arriba, generalmente en matrices de 3×3, 4×4 o 5×5. Otras opciones incluyen lo siguiente:

Árbol de decisión. Esta plantilla puede ayudar a un equipo a visualizar diferentes resultados y la probabilidad de logro, así como a calcular el valor potencial del proyecto, servicio o producto.

Modelo Pajarita. Este enfoque muestra vínculos causales entre las fuentes de amenazas y las posibles consecuencias. A la izquierda estaría la causa, el centro es el evento/riesgo desencadenante y la derecha muestra los posibles resultados.

Análisis modal de fallas y efectos (FMEA). Este análisis, utilizado por primera vez en la década de 1940 dentro del ejército de los EE. UU., es mejor para las etapas de propuesta o diseño de un proyecto. La parte del "modo de falla" define problemas, problemas potenciales y fallas. La parte de "análisis de efectos" examina qué impacto pueden tener las fallas.

Desafíos con TARA

Determinar la mejor manera de realizar el análisis de amenazas y la evaluación de riesgos puede ser algo complicado, ya que existen muchos enfoques y marcos de evaluación de riesgos de ciberseguridad que se están implementando. Algunos provienen del gobierno y otros provienen de organizaciones comerciales como NIST, ISO, OCTAVE, NCSA, etc.

Durante su proceso, uno de los mayores desafíos con las evaluaciones de amenazas es identificar todas las amenazas potenciales reales y los vectores de riesgo. Integrar procesos de seguridad en el desarrollo también puede representar un obstáculo importante para algunos equipos. Es posible que no vean el valor en él o consideren que "el jugo no vale la pena exprimirlo" con respecto a los beneficios.

Dado que los dispositivos integrados conectados, IoT, la nube, la automatización y otros avances tecnológicos se incluyen en elementos cotidianos como automóviles y máquinas de resonancia magnética, es fundamental implementar y refinar estrategias en torno a la seguridad y la evaluación de riesgos.

Para servir a múltiples industrias y flujos de trabajo, los métodos y herramientas de TARA varían en sus enfoques y ventajas. Pero identificar qué herramientas son las mejores para su proyecto no tiene por qué ser un desafío insuperable. Puede identificar más fácilmente la herramienta que necesita y la estrategia TARA para su equipo con cosas como matrices de amenazas.

Muchas matrices de amenazas capturan el conjunto de amenazas potenciales y las funciones o salvaguardas que deben implementarse. Esto equivale a requisitos de seguridad reconocidos y los tipos de métodos de verificación y validación (V&V) que deberán emplearse.

Necesitará una herramienta de gestión de requisitos sólida como Polarion, Jama o Codebeamer. Puede verificar y validar estos requisitos con amplias soluciones SAST y DAST automatizadas como las de Parasoft. También hay empresas, como itemis, que proporcionan herramientas de gestión de riesgos y amenazas a la seguridad.

Cierre la brecha de seguridad en las pruebas continuas y la canalización de CI/CD

Aunque la implementar el control de calidad en su canalización de CI/CD es una cosa, garantizar la seguridad en cada paso de la automatización puede ser aún más crítico. Cuando se trata de cosas como el cumplimiento de ISO 21434 e ISO 26262, las pruebas de seguridad de análisis estático (SAST) abordan estándares como CERT, CWE, OWASP y más. Como otros estándares como MISRA, que han incorporado reglas y pautas de seguridad en el estándar.

El análisis estático junto con las pruebas unitarias, los informes de cumplimiento, el análisis de flujo de datos y otras características de las herramientas de Parasoft permiten que su canalización de CI/CD también automatice las pruebas y haga más que simplemente desplazar a su equipo de desarrollo hacia la izquierda. Puede aumentar su SDLC ya ágil con procesos automatizados y centrados en la seguridad.

Soluciones para sus necesidades de TARA

Independientemente de su industria, garantizar que los elementos críticos para la seguridad y los elementos críticos para la seguridad cumplan y funcionen es el desarrollo 101. De la misma manera que una canalización de CI/CD aprovecha la automatización para reducir el tiempo de comercialización, resultados de prueba más efectivos y un mejor uso del presupuesto. una TARA puede reducir el tiempo dedicado a abordar los errores de seguridad y las amenazas al mismo tiempo que mitiga problemas futuros e identifica cualquier activo que no cumpla con los requisitos.

Pruebas como análisis estático puede ayudar con el cumplimiento de MISRA, mientras que Parasoft C/C++test ofrece una solución de automatización de prueba de software unificada que abarca los métodos de prueba SAST y DAST junto con soporte para lograr los estándares FuSa de la industria.

“MISRA”, “MISRA C” y el logotipo del triángulo son marcas comerciales registradas de The MISRA Consortium Limited. © The MISRA Consortium Limited, 2021. Todos los derechos reservados.