Microsoft Threat Modeling Tool Neue Funktionen

Die erste Iteration von Microsoft Threat Modeling Tool wurde 2011 eingeführt. Damals hieß das Programm Security Development Lifecycle oder einfach SDL Threat Modeling Tool erlaubte nicht-sicherheitsrelevanten Experten, Bedrohungsmodelle zu erstellen und zu analysieren durch

1. Kommunikation über das Sicherheitsdesign ihrer Systeme
2. Analysieren dieser Designs auf mögliche Sicherheitsprobleme mit einer bewährten Methode
3. Vorschlagen und Verwalten von Sicherheitsmaßnahmen Probleme

Das Tool hatte jedoch einige Fehler und bestimmte vorhersehbare Einschränkungen. Diese Erkenntnis veranlasste Microsoft, eine aktualisierte Version des Tools auf der Grundlage von Kundenfeedback und Verbesserungsvorschlägen zu entwickeln.

Microsoft Threat Modeling Tool

Somit enthält die neueste Version des kostenlosen Security Development Lifecycle Threat Modeling Tools eine neue Version Zeichenfläche, die Microsoft Visio nicht mehr benötigt, um Datenflussdiagramme zu erstellen.

Zweitens enthält das Update auch die Möglichkeit, frühere, bestehende Bedrohungsmodelle, die mit Version 3.1.8 erstellt wurden, in das neue Format zu migrieren. Benutzer des Threat-Modeling-Tools können einfach vorhandene benutzerdefinierte Threat-Definitionen in das Tool hochladen.

Neben den oben genannten Funktionen enthält das Microsoft Threat Modeling Tool Verbesserungen an seinen Visualisierungsfunktionen und Anpassungsfunktionen ältere Modelle und Bedrohungsdefinitionen sowie eine Änderung daran erzeugen Bedrohungen.

Neue Zeichenoberfläche

Die neue Version bietet einen vereinfachten Workflow für die Erstellung eines Bedrohungsmodells und hilft dabei, vorhandene Abhängigkeiten zu entfernen. Microsoft erklärt den Benutzern eine intuitive Benutzeroberfläche mit einfacher Navigation zum Erstellen von Bedrohungsmodellen.

STRIDE pro Interaktion

Eine der wichtigsten Verbesserungen für diese Version ist eine veränderte Herangehensweise an die Art und Weise, wie Menschen Bedrohungen generieren. Microsoft Threat Modeling Tool 2014 verwendet STRIDE pro Interaktion für die Bedrohungserzeugung. Versionen des Tools in der Vergangenheit verwendeten STRIDE pro Element.

Migration für v3-Modelle

Microsoft Security Development Lifecycle- oder SDL Threat Modeling Tool erleichtert Benutzern das Aktualisieren älterer Bedrohungsmodelle. Wie? Sie können Bedrohungsmodelle, die mit Threat Modeling Tool v3.1.8 erstellt wurden, in das Microsoft Threat Modeling Tool 2014 migrieren.

Update Threat Definitions

Den Benutzern stehen verschiedene Anpassungsoptionen zur Verfügung! Microsoft behauptet, dass es die Flexibilität bietet, das Tool entsprechend ihrer spezifischen Domäne anzupassen. Benutzer können die enthaltenen Bedrohungsdefinitionen nach dem Erstellen des bereitgestellten XML-Formats um eigene Definitionen erweitern. Für Details zum Hinzufügen eigener Bedrohungen schlägt Microsoft vor, das Threat Modeling Tool SDK zu durchlaufen.

Das Microsoft Threat Modeling Tool 2014 enthält eine Reihe von Bedrohungsdefinitionen mit STRIDE-Kategorien. Dieser Satz enthält nur Vorschläge zu Bedrohungsdefinitionen und -minderungen, die automatisch generiert werden, um potenzielle Sicherheitslücken für Ihr Datenflussdiagramm aufzuzeigen. Sie sollten Ihr Bedrohungsmodell mit Ihrem Team analysieren, um sicherzustellen, dass Sie alle potenziellen Sicherheitsrisiken adressiert haben, schrieb Emil Karafezov, Programmmanager im Team für sichere Entwicklungstools und Richtlinien bei Microsoft.

Weitere Informationen finden Sie unter MSDN-Blogs. Sie können das Microsoft Threat Modeling Tool 2016 hier herunterladen.