Casos de Abuso, Casos de Uso Malicioso, Arboles de Ataque
Casos de Abuso, Casos de Uso Malicioso, Arboles de Ataque
Casos de Abuso, Casos de Uso Malicioso, Arboles de Ataque
Caso de abuso
Definicin:
Es un modelo de especificacin de requisitos de seguridad
usado en la industria del desarrollo de software.
El trmino es una adaptacin de Caso de Uso.
El trmino fue introducido por John McDermott y Chris Fox en
1999 que trabajaban en el Departamento de Informtica de la
Universidad James Madison en Harrisonburg, Virginia.
Definimos el abuso en trminos de interacciones que causan un
dao real. Un caso de abuso completo define una interaccin
entre un actor y el sistema que resulta en dao a un recurso
asociado con uno de los actores, uno de los entes dependientes
del mismo o el mismo sistema.
Representacin en UML
Ejemplo
Caractersticas
2 nuevas relaciones:
Mitigates (Mitiga): un caso de uso puede evitar la
oportunidad de que un caso de uso malicioso se
complete exitosamente.
Threatens (Amenaza): un caso malicioso puede
amenazar a un caso de uso explotndolo o
entorpecindolo para conseguir sus fines.
Ejemplo
Casos de abuso
Construir un diagrama de
caso de uso
Identificar los actores del
abuso
Identificar los casos de
abuso
Definir los casos de abuso
Comprobar la granuralidad
Comprobar la completitud y
minimalidad
Estructura
Ejemplo
SecurITree (Amenaza)
Diagrama
Virus infecta un
fichero
Virus se ejecuta
como
administrador
Virus aprovecha
agujero de
seguridad
Otros programas
infectados
Virus ejecutado
por un
administrador
Virus infecta
fichero de
instalacin
Virus se ejecuta
como usuario
normal
Se infectan otros
programas
Administrador
descarga y ejecuta
fichero binario
infectado
Usuario descarga
y ejecuta fichero
infectado
Bibliografa
Wikipedia
Using Abuse Case Models for Security Requirements
Analysis, John McDermott and Chris Fox, Department of
Computer Science, James Madison University
http://www.andrew.cmu.edu/course/95750/docs/CaseModels.pdf
Misuse Cases and Abuse Cases in Eliciting Security
Requirements Chun Wei (Johnny), Sia Department of
Computer Science, University of Auckland 2005
https://www.cs.auckland.ac.nz/courses/compsci725s2c
/archive/termpapers/csia.pdf
Sofware
UML www.visual-paradigm.com/
Attack Trees:
http://sourceforge.net/projects/seamonster/?source=typ_re
direct