• Esta sección define un enfoque de modelado de amenazas esencial para realizar una prueba de penetración adecuada. No se requiere un modelo específico, pero debe ser consistente en términos de representación de amenazas, capacidades, calificaciones y repetibilidad en futuras pruebas.

• El enfoque se centra en dos elementos clave: activos (comerciales y procesos comerciales) y atacantes (comunidades de amenazas y sus capacidades). Los cuatro elementos deben identificarse y documentarse en cada prueba.

• Al modelar atacantes, además de considerar la comunidad de amenazas y capacidades técnicas, se debe evaluar la motivación, el valor de los activos y los costes de adquisición. También debe modelarse el impacto para entender el escenario de pérdida de cada activo.

• El modelado de amenazas es crucial para definir el nivel de riesgo y priorizar activos, permitiendo simulaciones realistas de ataques. Debe realizarse en coordinación con la organización probada, y en pruebas de caja negra, basarse en OSINT.

• El modelo debe documentarse claramente y entregarse en el informe final, proporcionando relevancia y puntuación de riesgo específicas para la organización.

El proceso de modelado de amenazas incluye:

1. Reunir documentación relevante.
2. Identificar y clasificar activos primarios y secundarios.
3. Identificar y clasificar amenazas y comunidades de amenazas.
4. Mapear comunidades de amenazas contra activos primarios y secundarios.