Microsoft Threat Modeling Tool Nouvelles fonctionnalités et téléchargement
La première itération de Outil de modélisation des menaces Microsoft a été déployé en 2011. À l'époque, le programme connu sous le nom de Cycle de vie du développement de la sécurité ou bien clairement, SDL Threat Modeling Tool a permis aux experts en la matière non liés à la sécurité de créer et d’analyser des modèles de menace en:
- Communiquer sur la conception de la sécurité de leurs systèmes
- Analyser cette conception à la recherche de problèmes de sécurité potentiels en utilisant une méthodologie éprouvée
- Suggérer et gérer des mesures d'atténuation des problèmes de sécurité
L’outil souffrait toutefois de quelques erreurs et de certaines limitations prévues. Cette réalisation a incité Microsoft à proposer une version mise à jour de l'outil, basée sur les commentaires des clients et leurs suggestions d'amélioration..
Outil de modélisation des menaces Microsoft
Ainsi, la dernière version de l’outil gratuit de modélisation de la sécurité du développement, du cycle de vie et des menaces inclut une nouvelle surface de dessin qui n’a plus besoin de Microsoft Visio pour créer des diagrammes de flux de données..
Deuxièmement, la mise à jour inclut également la possibilité de migrer des modèles de menaces existants construits avec la version 3.1.8 vers le nouveau format. Les utilisateurs de l'outil de modélisation des menaces peuvent simplement télécharger des définitions de menaces personnalisées existantes dans l'outil..
Outre les caractéristiques décrites ci-dessus, le Outil de modélisation des menaces Microsoft inclut des améliorations apportées à ses capacités de visualisation, des fonctions de personnalisation d'anciens modèles et définitions de menaces, ainsi qu'une modification de celles-ci générant des menaces.
Nouvelle surface de dessinLa nouvelle version fournit un flux de travail simplifié pour la création d'un modèle de menace et aide à supprimer les dépendances existantes. Microsoft explique que les utilisateurs auront une interface utilisateur intuitive avec une navigation facile pour créer des modèles de menace.
FOULE PAR INTERACTION
L'une des améliorations majeures de cette version est un changement d'approche concernant la manière dont les personnes génèrent des menaces. Microsoft Threat Modeling Tool 2014 utilise STRIDE par interaction pour la génération de menaces. Les versions antérieures de l'outil utilisaient STRIDE par élément.
Migration pour les modèles v3
Le cycle de vie du développement de la sécurité Microsoft ou l’outil de modélisation des menaces SDL facilite la mise à jour des anciens modèles de menaces par les utilisateurs. Comment? Vous pouvez migrer les modèles de menace créés avec Threat Modeling Tool v3.1.8 au format de Microsoft Threat Modeling Tool 2014.
Mettre à jour les définitions de menaces
Différentes options de personnalisation sont disponibles pour les utilisateurs! Microsoft affirme qu'il offre la possibilité de personnaliser l'outil en fonction de son domaine spécifique. Les personnes peuvent étendre les définitions de menaces incluses avec les leurs après avoir créé le format XML fourni. Pour plus de détails sur l'ajout de vos propres menaces, Microsoft suggère d'utiliser le SDK de l'outil de modélisation des menaces..
Pour plus d'informations, visitez les blogs MSDN. Vous pouvez télécharger le Outil de modélisation des menaces Microsoft 2016 ici.Microsoft Threat Modeling Tool 2014 est fourni avec un ensemble de base de définitions de menaces utilisant des catégories STRIDE. Cet ensemble comprend uniquement les définitions de menaces suggérées et les solutions qui sont générées automatiquement pour indiquer les vulnérabilités de sécurité potentielles de votre diagramme de flux de données. Vous devez analyser votre modèle de menace avec votre équipe pour vous assurer que vous avez résolu tous les problèmes de sécurité potentiels, a blogué Emil Karafezov, responsable de programme de l'équipe des outils et stratégies de développement sécurisé de Microsoft..