Първото повторение на Инструмент за моделиране на заплахи от Microsoft беше пусната през 2011 г. Впоследствие програмата, известна като График за развитие на сигурността или очевидно инструментът за моделиране на заплахи от SDL разрешава на експерти, които не са обект на сигурност, да създават и анализират модели за заплахи
- Комуникация относно дизайна на сигурността на техните системи
- Анализирайки тези проекти за потенциални проблеми със сигурността, използвайки доказана методология
- Предлагане и управление на смекчаване на проблемите на сигурността
Инструментът, обаче, страда от някои грешки и има определени предвидени ограничения. Тази реализация накара Microsoft да излезе с актуализирана версия на инструмента въз основа на обратна връзка от страна на клиентите и предложения за подобрения.
Инструмент за моделиране на заплахи от Microsoft
На второ място, актуализацията включва и възможността за мигриране по-рано, съществуващите модели за заплахи, изградени с версия 3.1.8, към новия формат. Потребителите на инструмента за моделиране на заплахи могат просто да качват съществуващи персонализирани дефиниции на заплахи в инструмента.
Освен описаните по - горе характеристики, Инструмент за моделиране на заплахи от Microsoft включва подобрения, направени с възможностите за визуализация, персонализиране с по-стари модели и дефиниции на заплахи, както и промяна в него, която генерира заплахи.
Нова повърхност за чертане
Новата версия осигурява опростен работен процес за изграждане на модел на заплаха и помага за премахването на съществуващите зависимости. Microsoft обяснява, че потребителите ще получат интуитивен потребителски интерфейс с лесна навигация за създаване на модели за заплахи.
STRIDE за взаимодействие
Едно от основните подобрения за това издание е промяната в подхода за това как хората генерират заплахи. Инструментът за моделиране на заплахите на Microsoft за 2014 г. използва STRIDE на взаимодействие за генериране на заплахи. Версиите на инструмента в предишното минало са използвали STRIDE за елемент.
Миграция за модели v3
Инструментът за разработка на Microsoft Security Lifecycle или SDL Threat Modeling Tool улеснява потребителите да актуализират моделите на по-стари заплахи. Как? Можете да преместите модели за заплахи, изградени с инструмента за моделиране на заплахи v3.1.8, на формата в инструмента Microsoft Threat Modeling Tool 2014
Актуализиране на дефинициите за заплахи
Различни опции за персонализиране са достъпни за потребителите! Microsoft твърди, че предлага гъвкавост при персонализиране на инструмента според конкретния му домейн. Хората могат да разширят включените дефиниции на заплаха в собствените си, след като са създали предоставения XML формат. За подробности относно добавянето на вашите собствени заплахи, Microsoft предлага да минете през SDK инструмента за моделиране на заплахи.
Microsoft Threat Modelling Tool 2014 comes with a base set of threat definitions using STRIDE categories. This set includes only suggested threat definitions and mitigations which are automatically generated to show potential security vulnerabilities for your data flow diagram. You should analyze your threat model with your team to ensure you have addressed all potential security pitfalls, blogged Emil Karafezov, program manager on the Secure Development Tools and Policies team at Microsoft.
За повече информация посетете блогът на MSDN. Можете да изтеглите Инструмент за моделиране на заплахи на Microsoft 2016 тук.
