Narzędzie Microsoft Threat Modeling Nowe funkcje

Pierwsza iteracja narzędzia Microsoft Threat Modeling Tool została wdrożona w 2011 roku. Wówczas program znany jako Cykl Security Development Lifecycle lub jawnie SDL Threat Narzędzie modelowania pozwoliło ekspertom niezwiązanym z bezpieczeństwem na tworzenie i analizowanie modeli zagrożeń przez

1. Komunikowanie się na temat projektowania zabezpieczeń ich systemów
2. Analiza tego projektu pod kątem potencjalnych problemów bezpieczeństwa przy użyciu sprawdzonej metodologii
3. Sugerowanie i zarządzanie ograniczeniami dla bezpieczeństwa problemy

Narzędzie cierpiało jednak na pewne błędy i miało pewne przewidywane ograniczenia. Ta realizacja skłoniła firmę Microsoft do opracowania zaktualizowanej wersji narzędzia opartego na opiniach klientów i sugestiach dotyczących ulepszeń.

Narzędzie do modelowania zagrożeń firmy Microsoft

W związku z tym najnowsza wersja bezpłatnego narzędzia do modelowania zagrożeń w ramach programu Security Development Lifecycle obejmuje nowe narzędzie rysowanie powierzchni, która nie wymaga już programu Microsoft Visio do tworzenia diagramów przepływu danych.

Po drugie, aktualizacja obejmuje także możliwość migracji wcześniejszych, istniejących modeli zagrożeń utworzonych w wersji 3.1.8 do nowego formatu. Użytkownicy narzędzia do modelowania zagrożeń mogą po prostu przesłać do narzędzia istniejące niestandardowe definicje zagrożeń.

Oprócz funkcji opisanych powyżej Narzędzie Microsoft Threat Modeling Tool zawiera udoskonalenia związane z jego możliwościami wizualizacji, funkcje dostosowywania starsze modele i definicje zagrożeń, a także ich zmiana, generują zagrożenia.

Nowa powierzchnia rysunku

Nowa wersja zapewnia uproszczony przepływ pracy w celu zbudowania modelu zagrożenia i pomocy w usuwaniu istniejących zależności. Microsoft wyjaśnia, że ​​użytkownicy otrzymają intuicyjny interfejs użytkownika z łatwą nawigacją do tworzenia modeli zagrożeń.

STRIDE na interakcję

Jednym z głównych udoskonaleń tego wydania jest zmiana podejścia do sposobu generowania zagrożeń przez użytkowników. Narzędzie Microsoft Threat Modeling Tool 2014 używa STRIDE na interakcję do generowania zagrożeń. Wersje narzędzia we wcześniejszej przeszłości używały STRIDE na element.

Migracja w przypadku modeli v3

Narzędzie Microsoft Security Development Lifecycle lub SDL Threat Modeling Tool ułatwia użytkownikom aktualizowanie starszych modeli zagrożeń. W jaki sposób? Można migrować modele zagrożeń utworzone za pomocą narzędzia Threat Modeling Tool v3.1.8 do formatu narzędzia Microsoft Threat Modeling Tool 2014

Aktualizuj definicje zagrożeń

Dla użytkowników dostępne są różne opcje dostosowywania! Microsoft twierdzi, że oferuje elastyczność dostosowywania narzędzia zgodnie z jego domeną. Ludzie mogą rozszerzyć zawarte definicje zagrożeń o własne po utworzeniu udostępnionego formatu XML. Aby uzyskać szczegółowe informacje na temat dodawania własnych zagrożeń, firma Microsoft zaleca skorzystanie z SDK narzędzia Modelowanie zagrożeń.

Narzędzie Microsoft Threat Modeling Tool 2014 zawiera podstawowy zestaw definicji zagrożeń za pomocą kategorii STRIDE. Ten zestaw zawiera tylko sugerowane definicje zagrożeń i ograniczenia, które są generowane automatycznie, aby pokazać potencjalne luki w zabezpieczeniach na diagramie przepływu danych. Powinieneś przeanalizować swój model zagrożenia ze swoim zespołem, aby upewnić się, że rozwiązałeś wszystkie potencjalne pułapki bezpieczeństwa, blogował Emil Karafezov, menedżer programu w zespole Secure Development Tools and Policies w firmie Microsoft.

Aby uzyskać więcej informacji, odwiedź blogi MSDN. Możesz pobrać Microsoft Threat Modeling Tool 2016 tutaj.