Modelo de amenazas PASTA
¿Qué es Modelo de amenazas PASTA?
Modelo de amenazas PASTAProcess for Attack Simulation and Threat Analysis, metodologia de modelado de amenazas de siete etapas centrada en el riesgo que alinea amenazas tecnicas con impacto de negocio.
PASTA (Process for Attack Simulation and Threat Analysis) es una metodologia de modelado de amenazas centrada en el riesgo definida por Tony UcedaVelez y Marco Morana. Se estructura en siete etapas: definir objetivos, definir alcance tecnico, descomposicion de la aplicacion, analisis de amenazas, analisis de vulnerabilidades y debilidades, modelado de ataques, y analisis de riesgo e impacto. PASTA enfatiza la conexion entre amenazas tecnicas y objetivos e impacto de negocio cuantificable, apoyandose en diagramas de flujo de datos, librerias de ataques y abuse cases. Suele ser elegida por grandes empresas que necesitan un proceso defendible y repetible alineado con NIST, ISO 27005 y FAIR, y se integra bien con ASVS, MITRE ATT&CK y CAPEC.
● Ejemplos
- 01
Un banco realiza un taller PASTA sobre su plataforma de pagos moviles para priorizar amenazas de fraude por impacto en ingresos.
- 02
Uso de patrones CAPEC en la etapa 6 de PASTA para enumerar escenarios de ataque realistas contra una API critica.
● Preguntas frecuentes
¿Qué es Modelo de amenazas PASTA?
Process for Attack Simulation and Threat Analysis, metodologia de modelado de amenazas de siete etapas centrada en el riesgo que alinea amenazas tecnicas con impacto de negocio. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa Modelo de amenazas PASTA?
Process for Attack Simulation and Threat Analysis, metodologia de modelado de amenazas de siete etapas centrada en el riesgo que alinea amenazas tecnicas con impacto de negocio.
¿Cómo funciona Modelo de amenazas PASTA?
PASTA (Process for Attack Simulation and Threat Analysis) es una metodologia de modelado de amenazas centrada en el riesgo definida por Tony UcedaVelez y Marco Morana. Se estructura en siete etapas: definir objetivos, definir alcance tecnico, descomposicion de la aplicacion, analisis de amenazas, analisis de vulnerabilidades y debilidades, modelado de ataques, y analisis de riesgo e impacto. PASTA enfatiza la conexion entre amenazas tecnicas y objetivos e impacto de negocio cuantificable, apoyandose en diagramas de flujo de datos, librerias de ataques y abuse cases. Suele ser elegida por grandes empresas que necesitan un proceso defendible y repetible alineado con NIST, ISO 27005 y FAIR, y se integra bien con ASVS, MITRE ATT&CK y CAPEC.
¿Cómo defenderse de Modelo de amenazas PASTA?
Las defensas contra Modelo de amenazas PASTA combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Modelo de amenazas PASTA?
Nombres alternativos comunes: Process for Attack Simulation and Threat Analysis, PASTA.
● Términos relacionados
- appsec№ 1150
Modelado de amenazas
Análisis estructurado que identifica activos, amenazas, vulnerabilidades y mitigaciones de un sistema para diseñar la seguridad desde el inicio, no añadirla al final.
- compliance№ 751
Metodo OCTAVE
Metodologia de evaluacion de riesgos de seguridad de la informacion del SEI de CMU, centrada en el riesgo organizacional y operacional sobre los activos criticos.
- compliance№ 143
CAPEC
Common Attack Pattern Enumeration and Classification, catalogo publico mantenido por MITRE con patrones de ataque usados por adversarios para explotar debilidades conocidas.
- compliance№ 936
Gestión de riesgos
Proceso coordinado de identificar, analizar, evaluar, tratar, monitorizar y comunicar los riesgos para mantenerlos dentro de la tolerancia definida por la organización.
- compliance№ 775
OWASP ASVS
Application Security Verification Standard de OWASP, catalogo de requisitos de seguridad verificables para disenar, construir y verificar aplicaciones web y APIs.