Den første iterasjonen av Microsoft Threat Modeling Tool ble rullet ut i 2011. Da ble programmet kjent som Sikkerhetsutviklingens livssyklus eller rett og slett SDL Threat Modeling Tool tillater ikke-sikkerhetsfaglige eksperter å opprette og analysere trusselmodeller av
- Kommuniserer om sikkerhetsdesign av sine systemer
- Analysere disse designene for potensielle sikkerhetsproblemer ved hjelp av en påvist metode
- Foreslå og håndtere begrensninger for sikkerhetsproblemer
Verktøyet led imidlertid noen feil og hadde visse forutbestemte begrensninger. Denne oppfatningen førte til at Microsoft kom med en oppdatert versjon av verktøyet basert på tilbakemeldinger fra kunder og forslag til forbedringer.
Microsoft Threat Modeling Tool
For det andre inkluderer oppdateringen også evnen til å migrere tidligere, eksisterende trusselmodeller bygget med versjon 3.1.8 til det nye formatet. Brukere av verktøyet for trusselmodellering kan enkelt laste opp eksisterende tilpassede trussjonsdefinisjoner i verktøyet.
Bortsett fra funksjonene som er skissert over, Microsoft Threat Modeling Tool inkluderer forbedringer som er gjort for å visualisere evner, tilpasningsfunksjoner eldre modeller og trusseldetaljer, samt en endring i det genererer trusler.
Ny tegneoverflate
Den nye versjonen gir en forenklet arbeidsflyt for å bygge en trusselmodell og bidra til å fjerne eksisterende avhengigheter. Microsoft forklarer at brukere vil få intuitivt brukergrensesnitt med enkel navigering for å skape trusselmodeller.
STRIDE per interaksjon
En av de største forbedringene for denne utgivelsen er en endring i tilnærmingen til hvordan folk genererer trusler. Microsoft Threat Modeling Tool 2014 bruker STRIDE per samhandling for trusselsgenerering. Versjoner av verktøyet i tidligere tidligere brukte STRIDE per element.
Migrasjon for v3-modeller
Microsoft Security Development Lifecycle eller SDL Threat Modeling Tool gjør det enklere for brukerne å oppdatere eldre trusselmodeller. Hvordan? Du kan overføre trusselmodeller bygget med Threat Modeling Tool v3.1.8 til formatet i Microsoft Threat Modeling Tool 2014
Oppdater trusselsdefinisjoner
Ulike tilpassingsalternativer er tilgjengelige for brukerne! Microsoft hevder at det gir fleksibilitet til å tilpasse verktøyet i henhold til deres spesifikke domene. Folk kan forlenge de medfølgende trussjonsdefinisjonene med seg selv etter å ha gitt det angitte XML-formatet. For detaljer om hvordan du legger til dine egne trusler, foreslår Microsoft å gå gjennom SDK for Threat Modeling.
Microsoft Threat Modelling Tool 2014 comes with a base set of threat definitions using STRIDE categories. This set includes only suggested threat definitions and mitigations which are automatically generated to show potential security vulnerabilities for your data flow diagram. You should analyze your threat model with your team to ensure you have addressed all potential security pitfalls, blogged Emil Karafezov, program manager on the Secure Development Tools and Policies team at Microsoft.
For mer informasjon, besøk MSDN Blogs. Du kan laste ned Microsoft Threat Modeling Tool 2016 her.
