Εργαλείο προσομοίωσης απειλών της Microsoft Νέες δυνατότητες

Η πρώτη επανάληψη του Εργαλείου Μοντελοποίησης Απειλών της Microsoft κυκλοφόρησε το 2011. Τότε, το πρόγραμμα είναι γνωστό ως Lifecycle Development Security Το εργαλείο μοντελοποίησης επέτρεψε σε εμπειρογνώμονες που δεν εμπλέκονται σε θέματα ασφαλείας να δημιουργήσουν και να αναλύσουν μοντέλα απειλών

1. Επικοινωνία σχετικά με τον σχεδιασμό ασφαλείας των συστημάτων τους
2. Αναλύοντας αυτά τα σχέδια για πιθανά ζητήματα ασφάλειας χρησιμοποιώντας μια αποδεδειγμένη μεθοδολογία
3. Προτείνει και διαχειριστεί μετριασμούς για ασφάλεια θέματα

Ωστόσο, το εργαλείο υπέφερε από ορισμένα σφάλματα και είχε ορισμένους προβλεπόμενους περιορισμούς. Αυτή η συνειδητοποίηση οδήγησε τη Microsoft να παρουσιάσει μια ενημερωμένη έκδοση του εργαλείου, βασιζόμενη σε ανατροφοδότηση πελατών και προτάσεις για βελτιώσεις.

Το Microsoft Threat Modeling Tool

Έτσι, η τελευταία έκδοση του δωρεάν εργαλείου μοντελοποίησης απειλών για το Life Development Lifecycle περιλαμβάνει ένα νέο που δεν απαιτεί πλέον το Microsoft Visio να δημιουργήσει διαγράμματα ροής δεδομένων.

Δεύτερον, η ενημερωμένη έκδοση περιλαμβάνει επίσης τη δυνατότητα μετανάστευσης παλαιότερων υφιστάμενων μοντέλων απειλών που έχουν κατασκευαστεί με την έκδοση 3.1.8 στη νέα μορφή. Οι χρήστες του εργαλείου μοντελοποίησης απειλών μπορούν απλώς να μεταφορτώσουν στο εργαλείο τους υπάρχοντες ορισμούς απειλών κατά παραγγελία.

Εκτός από τα χαρακτηριστικά που περιγράφηκαν παραπάνω, το Εργαλείο Μοντελοποίησης Απειλών της Microsoft περιλαμβάνει βελτιώσεις στις δυνατότητες απεικόνισης, τα παλαιότερα μοντέλα και οι ορισμοί απειλών, καθώς και η αλλαγή σε αυτό δημιουργούν απειλές

Νέα επιφάνεια σχεδίασης

Η νέα έκδοση παρέχει μια απλοποιημένη ροή εργασίας για την κατασκευή ενός μοντέλου απειλής και την απομάκρυνση των υπαρχουσών εξαρτήσεων. Η Microsoft εξηγεί ότι οι χρήστες θα έχουν διαισθητικό περιβάλλον εργασίας με εύκολη πλοήγηση για τη δημιουργία μοντέλων απειλών

STRIDE ανά αλληλεπίδραση

Μια από τις σημαντικότερες βελτιώσεις αυτής της έκδοσης είναι μια αλλαγή στην προσέγγιση του τρόπου με τον οποίο οι άνθρωποι δημιουργούν απειλές. Το εργαλείο προσομοίωσης απειλών της Microsoft για το 2014 χρησιμοποιεί STRIDE ανά αλληλεπίδραση για δημιουργία απειλών. Οι εκδόσεις του εργαλείου κατά το προηγούμενο παρελθόν χρησιμοποιούσαν STRIDE ανά στοιχείο.

Μετανάστευση για μοντέλα v3

Το Microsoft Life Security Development Lifecycle ή το SDL Threat Modeling Tool διευκολύνει τους χρήστες να ενημερώσουν τα παλαιότερα μοντέλα απειλών. Πως? Μπορείτε να μεταφέρετε μοντέλα απειλών που έχουν κατασκευαστεί με το εργαλείο προσομοίωσης απειλών v3.1.8 στη μορφή του Microsoft Threat Modeling Tool 2014

Ενημέρωση για τον ορισμό απειλών

Διαφορετικές επιλογές προσαρμογής είναι διαθέσιμες στους χρήστες! Η Microsoft ισχυρίζεται ότι προσφέρει την ευελιξία να προσαρμόσει το εργαλείο ανάλογα με τον συγκεκριμένο τομέα. Οι άνθρωποι μπορούν να επεκτείνουν τους ορισμούς των απειλών που συμπεριλαμβάνονται με τους ορισμούς τους μετά από τη σύνταξη της παρεχόμενης μορφής XML. Για λεπτομέρειες σχετικά με την προσθήκη των δικών σας απειλών, η Microsoft προτείνει να περάσετε από το SDK εργαλείου Modeling Threat.

Το Microsoft Threat Modeling Tool 2014 συνοδεύεται από ένα σύνολο βασικών ορισμών απειλών χρησιμοποιώντας τις κατηγορίες STRIDE. Αυτό το σετ περιλαμβάνει μόνο προτεινόμενους ορισμούς απειλών και μετριασμούς που δημιουργούνται αυτόματα για να δείξουν πιθανά τρωτά σημεία ασφαλείας για το διάγραμμα ροής δεδομένων σας. Θα πρέπει να αναλύσετε το μοντέλο απειλών σας με την ομάδα σας για να βεβαιωθείτε ότι έχετε αντιμετωπίσει όλες τις πιθανές παγίδες ασφαλείας, blogged Emil Karafezov, υπεύθυνος προγράμματος για την ομάδα Secure Development Tools and Policies της Microsoft.

Για περισσότερες πληροφορίες, επισκεφθείτε τα Blogs του MSDN. Μπορείτε να κάνετε λήψη του Microsoft Threat Modeling Tool 2016 εδώ.