Первая итерация инструмента моделирования угроз Microsoft была запущена в 2011 году. Тогда программа, известная как жизненный цикл разработки безопасности или просто инструмент моделирования угроз SDL, разрешала не связанные с безопасностью темы. Эксперты для создания и анализа моделей угроз
- Общение о безопасности проектирования своих систем
- Анализ этих проектов на наличие потенциальных проблем безопасности с использованием проверенной методологии
- Предложение и управление мерами по решению проблем безопасности
Инструмент, однако, страдает от некоторых ошибок и имеет определенные предусмотренные ограничения. Эта реализация побудила Microsoft предложить обновленную версию инструмента, основанную на отзывах клиентов и предложениях по улучшению.
Средство моделирования угроз Microsoft
Таким образом, последняя версия бесплатного инструмента моделирования угроз жизненного цикла разработки безопасности включает в себя новую поверхность рисования, которая больше не требует Microsoft Visio для построения диаграмм потоков данных.
Во-вторых, обновление также включает возможность перенести ранее существующие модели угроз, созданные с версией 3.1.8, в новый формат. Пользователи инструмента моделирования угроз могут просто загрузить в него существующие пользовательские определения угроз.
Помимо функций, описанных выше, Инструмент моделирования угроз Microsoft включает в себя улучшения, внесенные в его возможности визуализации, функции настройки старых моделей и определений угроз, а также его изменение, создающее угрозы.
Новая поверхность для рисования
Новый выпуск обеспечивает упрощенный рабочий процесс для построения модели угроз и помогает удалить существующие зависимости. Microsoft объясняет, что пользователи получат интуитивно понятный пользовательский интерфейс с простой навигацией для создания моделей угроз.
STRIDE для каждого взаимодействия
Одним из основных улучшений этого выпуска является изменение подхода к тому, как люди генерируют угрозы. Средство моделирования угроз Microsoft 2014 использует STRIDE для каждого взаимодействия для создания угроз. Версии инструмента в более раннем прошлом использовали STRIDE для каждого элемента.
Миграция для моделей v3
Microsoft Security Development Lifecycle или SDL Threat Modeling Tool упрощают пользователям обновление старых моделей угроз. Как? Вы можете перенести модели угроз, созданные с помощью Threat Modeling Tool v3.1.8, в формат Microsoft Threat Modeling Tool 2014
Обновить определения угроз
Различные варианты настройки доступны для пользователей! Microsoft утверждает, что предлагает гибкую настройку инструмента в соответствии с их конкретной областью. Люди могут расширять включенные определения угроз своими собственными после создания предоставленного формата XML. Для получения дополнительной информации о добавлении собственных угроз Microsoft предлагает воспользоваться SDK инструмента моделирования угроз.
Средство моделирования угроз Microsoft 2014 поставляется с базовым набором определений угроз с использованием категорий STRIDE. Этот набор включает в себя только предлагаемые определения угроз и смягчения их последствий, которые генерируются автоматически, чтобы показать потенциальные уязвимости безопасности для вашей диаграммы потока данных. Вы должны проанализировать свою модель угроз со своей командой, чтобы убедиться, что вы устранили все потенциальные ошибки безопасности, – написал Эмиль Карафезов, руководитель программы в группе инструментов и политик безопасной разработки в Microsoft.
Для получения дополнительной информации посетите Блоги MSDN. Вы можете загрузить Средство моделирования угроз Microsoft 2016 здесь.