【SDL实践指南】微软威胁建模工具

admin 2023年3月11日21:46:41评论120 views字数 677阅读2分15秒阅读模式

文章前言

威胁建模(Threat Modeling)是一个不断循环的动态模型,它可以帮助企业确定对应用程序造成影响的威胁、攻击、漏洞和对策,企业可以使用威胁建模来形成应用程序的设计、实现企业的安全目标以及降低风险

工具介绍

Microsoft Threat Modeling Tool是由微软在2018年9月作为GA发布的一款威胁   建模工具,该工具为创建关系图、识别威胁、缓解问题、验证每个缓解操作提供了流程化和可视化的展示,下面的关系图重点突出了此过程:

【SDL实践指南】微软威胁建模工具

工具安装

下载地址:https://aka.ms/threatmodelingtool
安装软件:

【SDL实践指南】微软威胁建模工具

工具面板

启动威胁建模工具时您将会到下图显示的几项

【SDL实践指南】微软威胁建模工具

选择"Create A Model"之后进入模型创建页面

【SDL实践指南】微软威胁建模工具

菜单项功能:

【SDL实践指南】微软威胁建模工具

符号菜单项:

【SDL实践指南】微软威胁建模工具

模具就是威胁建模中所使用的单位,例如:一个APP、一个服务器、一个数据库或者一个请求,它们共同构成了一个系统运行的拓扑,通过这个拓扑图威胁建模工具能够分析出其中的安全隐患,常见的模具有如下几类:

【SDL实践指南】微软威胁建模工具

工具使用

威胁建模是一个较为复杂和困难的工作,其难点在于对业务系统的了解度,如果对系统逻辑非常了解,那么很快就能完成一个系统的威胁建模,反之如果对系统逻辑一知半解,那么完成一次威胁建模就需要多方协作配合,这就成了一个复杂的过程,在进行威胁建模时只需进行以下几步:

  • 将左边模具栏的模具拖动到画布上

  • 双击画布上的模具,修改其属性值

  • 最终构成了完整的业务系统逻辑图

【SDL实践指南】微软威胁建模工具

【SDL实践指南】微软威胁建模工具

文末小结

总体而言这款小工具用起来还是可以的,就是感觉有些模具并不是那么很齐全

原文始发于微信公众号(七芒星实验室):【SDL实践指南】微软威胁建模工具

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月11日21:46:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【SDL实践指南】微软威胁建模工具https://cn-sec.com/archives/1598618.html

发表评论

匿名网友 填写信息