La prima iterazione di Strumento di modellazione delle minacce Microsoft è stato lanciato nel 2011. Allora, il programma è noto come Ciclo di vita dello sviluppo della sicurezza o chiaramente SDL Threat Modeling Tool ha permesso agli esperti in materia di non sicurezza di creare e analizzare modelli di minacce tramite
- Comunicare sulla progettazione della sicurezza dei loro sistemi
- Analizzando tali progetti per potenziali problemi di sicurezza utilizzando una metodologia comprovata
- Suggerire e gestire le attenuazioni per problemi di sicurezza
Lo strumento tuttavia ha sofferto di alcuni errori e aveva alcuni limiti previsti. Questa consapevolezza ha spinto Microsoft a proporre una versione aggiornata dello strumento in base al feedback dei clienti e ai suggerimenti per miglioramenti.
Strumento di modellazione delle minacce Microsoft
In secondo luogo, l'aggiornamento include anche la possibilità di migrare i precedenti modelli di minacce esistenti creati con la versione 3.1.8 nel nuovo formato. Gli utenti dello strumento di modellazione delle minacce possono semplicemente caricare nello strumento le definizioni di minacce esistenti create dall'utente.
Oltre alle caratteristiche delineate sopra, il Strumento di modellazione delle minacce Microsoft include miglioramenti apportati alle sue capacità di visualizzazione, funzioni di personalizzazione di modelli precedenti e definizioni di minacce, oltre a una modifica apportata alle minacce.
Nuova superficie di disegno
La nuova versione fornisce un flusso di lavoro semplificato per la creazione di un modello di minaccia e consente di rimuovere le dipendenze esistenti. Microsoft spiega che gli utenti avranno un'interfaccia utente intuitiva con una facile navigazione per creare modelli di minacce.
STRIDE per interazione
Uno dei principali miglioramenti di questa versione è un cambiamento nell'approccio di come le persone generano minacce. Microsoft Threat Modeling Tool 2014 utilizza STRIDE per interazione per la generazione di minacce. Le versioni dello strumento nel passato precedente utilizzavano STRIDE per elemento.
Migrazione per i modelli v3
Microsoft Security Development Lifecycle o SDL Threat Modeling Tool facilita agli utenti l'aggiornamento di modelli di minacce precedenti. Come? È possibile migrare modelli di minacce creati con Threat Modeling Tool v3.1.8 nel formato in Microsoft Threat Modeling Tool 2014
Aggiorna definizioni di minaccia
Diverse opzioni di personalizzazione sono disponibili per gli utenti! Microsoft afferma che offre la flessibilità per personalizzare lo strumento in base al proprio dominio specifico. Le persone possono estendere le definizioni delle minacce incluse con quelle proprie dopo aver creato il formato XML fornito. Per i dettagli sull'aggiunta delle proprie minacce, Microsoft suggerisce di utilizzare lo strumento SDK di Threat Modeling.
Microsoft Threat Modelling Tool 2014 comes with a base set of threat definitions using STRIDE categories. This set includes only suggested threat definitions and mitigations which are automatically generated to show potential security vulnerabilities for your data flow diagram. You should analyze your threat model with your team to ensure you have addressed all potential security pitfalls, blogged Emil Karafezov, program manager on the Secure Development Tools and Policies team at Microsoft.
Per ulteriori informazioni, visitare i blog MSDN. Puoi scaricare il Strumento per la modellazione di minacce Microsoft 2016 Qui.
