A primeira iteração de Ferramenta de modelagem de ameaças da Microsoft foi lançado em 2011. Naquela época, o programa conhecido como Ciclo de Vida de Desenvolvimento de Segurança ou simplesmente a SDL Threat Modeling Tool permitia que especialistas em assuntos não relacionados à segurança criassem e analisassem modelos de ameaças
- Comunicando sobre o design de segurança de seus sistemas
- Analisando esse design para possíveis problemas de segurança usando uma metodologia comprovada
- Sugestão e gerenciamento de mitigações para problemas de segurança
A ferramenta porém sofria de alguns erros e tinha certas limitações previstas. Essa percepção levou a Microsoft a criar uma versão atualizada da ferramenta com base no feedback do cliente e sugestões de melhorias.
Ferramenta de modelagem de ameaças da Microsoft
Em segundo lugar, a atualização também inclui a capacidade de migrar modelos de ameaças anteriores existentes construídos com a versão 3.1.8 para o novo formato. Os usuários da ferramenta de modelagem de ameaças podem simplesmente fazer o upload das definições de ameaças existentes e personalizadas para a ferramenta.
Além das características descritas acima, o Ferramenta de modelagem de ameaças da Microsoft inclui aprimoramentos feitos em seus recursos de visualização, recursos de personalização, modelos mais antigos e definições de ameaças, além de uma alteração gerando ameaças.
Nova superfície de desenho
A nova versão fornece um fluxo de trabalho simplificado para criar um modelo de ameaça e ajudar a remover dependências existentes. A Microsoft explica que os usuários terão uma interface de usuário intuitiva com navegação fácil para criar modelos de ameaças.
STRIDE por Interação
Uma das principais melhorias para este lançamento é uma mudança na abordagem de como as pessoas geram ameaças. A Microsoft Threat Modeling Tool 2014 usa STRIDE por interação para geração de ameaças. Versões da ferramenta no passado anterior usavam o STRIDE por elemento.
Migração para modelos v3
O Ciclo de Vida de Desenvolvimento da Segurança da Microsoft ou a Ferramenta de Modelagem de Ameaças do SDL facilitam a atualização dos modelos de ameaças mais antigos pelos usuários. Como? Você pode migrar modelos de ameaças criados com o Threat Modeling Tool v3.1.8 para o formato no Microsoft Threat Modeling Tool 2014
Atualizar definições de ameaças
Diferentes opções de personalização estão disponíveis para os usuários! A Microsoft afirma que oferece a flexibilidade de personalizar a ferramenta de acordo com seu domínio específico. As pessoas podem estender as definições de ameaças incluídas com as suas próprias, após a criação do formato XML fornecido. Para obter detalhes sobre como adicionar suas próprias ameaças, a Microsoft sugere que você use o SDK da ferramenta Threat Modeling.
Microsoft Threat Modelling Tool 2014 comes with a base set of threat definitions using STRIDE categories. This set includes only suggested threat definitions and mitigations which are automatically generated to show potential security vulnerabilities for your data flow diagram. You should analyze your threat model with your team to ensure you have addressed all potential security pitfalls, blogged Emil Karafezov, program manager on the Secure Development Tools and Policies team at Microsoft.
Para mais informações, visite Blogs do MSDN. Você pode baixar o Ferramenta de Modelagem de Ameaças da Microsoft 2016 Aqui.
