Lần lặp đầu tiên của Công cụ tạo mô hình đe dọa của Microsoft đã được triển khai vào năm 2011. Quay lại sau đó, chương trình được gọi là Vòng đời phát triển an ninh hoặc SDL Threat Modeling Tool cho phép các chuyên gia về vấn đề không an toàn tạo ra và phân tích các mô hình đe dọa bằng
- Giao tiếp về thiết kế bảo mật của hệ thống của họ
- Phân tích những thiết kế đó cho các vấn đề bảo mật tiềm năng bằng cách sử dụng một phương pháp đã được chứng minh
- Đề xuất và quản lý giảm nhẹ cho các vấn đề bảo mật
Tuy nhiên, công cụ này phải chịu một số lỗi và có những hạn chế được dự đoán nhất định. Việc thực hiện này đã khiến Microsoft phải đưa ra một phiên bản cập nhật của công cụ dựa trên phản hồi của khách hàng và các đề xuất cải tiến.
Công cụ tạo mô hình đe dọa của Microsoft
Thứ hai, bản cập nhật cũng bao gồm khả năng di chuyển trước đó, các mô hình mối đe dọa hiện có được xây dựng với phiên bản 3.1.8 sang định dạng mới. Người dùng công cụ mô hình hóa mối đe dọa có thể chỉ cần tải lên các định nghĩa mối đe dọa được xây dựng tùy chỉnh hiện có vào công cụ.
Ngoài các tính năng được nêu ở trên, Công cụ tạo mô hình đe dọa của Microsoft bao gồm các cải tiến được thực hiện cho khả năng hiển thị của nó, các tính năng tùy chỉnh các mô hình cũ hơn và các định nghĩa mối đe dọa, cũng như thay đổi để tạo ra các mối đe dọa.
Bề mặt bản vẽ mới
Bản phát hành mới cung cấp quy trình làm việc đơn giản để xây dựng mô hình mối đe dọa và giúp loại bỏ các phụ thuộc hiện có. Microsoft giải thích người dùng sẽ nhận được giao diện người dùng trực quan với điều hướng dễ dàng để tạo ra các mô hình đe dọa.
STRIDE cho mỗi tương tác
Một trong những cải tiến chính cho bản phát hành này là thay đổi cách tiếp cận cách mọi người tạo ra các mối đe dọa. Microsoft Threat Modeling Tool 2014 sử dụng STRIDE cho mỗi tương tác để tạo mối đe dọa. Các phiên bản của công cụ trong quá khứ trước đây đã sử dụng STRIDE cho mỗi phần tử.
Di chuyển cho mô hình v3
Vòng đời phát triển bảo mật của Microsoft hoặc Công cụ tạo mô hình đe dọa SDL giúp người dùng dễ dàng cập nhật các mô hình đe dọa cũ hơn. Làm sao? Bạn có thể di chuyển các mô hình đe dọa được xây dựng bằng Công cụ tạo mô hình đe dọa v3.1.8 sang định dạng trong Công cụ tạo mô hình sự cố của Microsoft 2014
Cập nhật các định nghĩa mối đe dọa
Tùy chọn tùy chỉnh khác nhau có sẵn cho người dùng! Microsoft tuyên bố nó cung cấp sự linh hoạt để tùy chỉnh công cụ theo tên miền cụ thể của họ. Mọi người có thể mở rộng các định nghĩa đe dọa đi kèm với các định nghĩa của riêng mình sau khi cho phép định dạng XML được cung cấp. Để biết thêm chi tiết về cách thêm các mối đe dọa của riêng bạn, Microsoft đề xuất bạn hãy xem qua SDK công cụ tạo mô hình mối đe dọa.
Microsoft Threat Modelling Tool 2014 comes with a base set of threat definitions using STRIDE categories. This set includes only suggested threat definitions and mitigations which are automatically generated to show potential security vulnerabilities for your data flow diagram. You should analyze your threat model with your team to ensure you have addressed all potential security pitfalls, blogged Emil Karafezov, program manager on the Secure Development Tools and Policies team at Microsoft.
Để biết thêm thông tin, hãy truy cập MSDN Blogs. Bạn có thể tải xuống Công cụ tạo mô hình đe dọa của Microsoft 2016 đây.
