Microsoft Threat Modeling ToolMicrosoft Threat Modeling Tool

Das Threat Modeling Tool ist ein Kernelement im Microsoft Security Development Lifecycle (SDL).The Threat Modeling Tool is a core element of the Microsoft Security Development Lifecycle (SDL). Es ermöglicht Softwarearchitekten, potenzielle Sicherheitslücken früh zu identifizieren und zu entschärfen, wenn sie relativ einfach und kostengünstig gelöst werden können.It allows software architects to identify and mitigate potential security issues early, when they are relatively easy and cost-effective to resolve. Daher werden mit dem Tool die Gesamtkosten der Entwicklung erheblich reduziert.As a result, it greatly reduces the total cost of development. Außerdem wurde das Tool nicht speziell für Sicherheitsexperten entwickelt. Es erleichtert die Modellierung von Bedrohungen für alle Entwickler, indem klare Leitlinien zum Erstellen und Analysieren von Gefahrenmodellen bereitgestellt werden.Also, we designed the tool with non-security experts in mind, making threat modeling easier for all developers by providing clear guidance on creating and analyzing threat models.

Das Tool ermöglicht Folgendes:The tool enables anyone to:

  • Informationen zum Entwurf der Sicherheit von Systemen kommunizierenCommunicate about the security design of their systems
  • Diese Entwürfe mit bewährten Methoden auf potenzielle Sicherheitsprobleme analysierenAnalyze those designs for potential security issues using a proven methodology
  • Gegenmaßnahmen für Sicherheitsprobleme vorschlagen und verwaltenSuggest and manage mitigations for security issues

Nachfolgend sind einige Funktionen und Innovationen des Tools aufgeführt:Here are some tooling capabilities and innovations, just to name a few:

  • Automatisierung: Anleitungen und Feedback bei der Erstellung eines ModellsAutomation: Guidance and feedback in drawing a model
  • STRIDE pro Element: Geführte Analyse der Bedrohungen und GegenmaßnahmenSTRIDE per Element: Guided analysis of threats and mitigations
  • Berichte: Sicherheitsaktivitäten und Tests in der ÜberprüfungsphaseReporting: Security activities and testing in the verification phase
  • Einzigartige Methodik: Ermöglicht es Benutzern, Bedrohungen besser zu visualisieren und zu verstehenUnique Methodology: Enables users to better visualize and understand threats
  • Speziell für Entwickler konzipiert und auf Software ausgerichtet: Viele Ansätze zielen auf Objekte oder Angreifer ab.Designed for Developers and Centered on Software: many approaches are centered on assets or attackers. Bei uns steht die Software im Mittelpunkt.We are centered on software. Unsere Basis sind Aktivitäten, mit denen alle Softwareentwickler und -architekten vertraut sind, z.B. das Zeichnen von Bildern für ihre Softwarearchitektur.We build on activities that all software developers and architects are familiar with -- such as drawing pictures for their software architecture
  • Fokus auf der Entwurfsanalyse: Der Begriff „Modellierung von Bedrohungen“ kann sich auf eine Technik zur Analyse von Anforderungen oder Entwürfen beziehen.Focused on Design Analysis: The term "threat modeling" can refer to either a requirements or a design analysis technique. In manchen Fällen bezieht er sich auf eine komplexe Mischung aus beidem.Sometimes, it refers to a complex blend of the two. Der Microsoft SDL-Ansatz für die Modellierung von Bedrohungen ist eine fokussierte Entwurfsanalysemethode.The Microsoft SDL approach to threat modeling is a focused design analysis technique

Nächste SchritteNext steps

Die folgende Tabelle enthält wichtige Links, um Ihnen den Einstieg in das Threat Modeling Tool zu erleichtern:The table below contains important links to get you started with the Threat Modeling Tool:

SchrittStep BESCHREIBUNGDescription
11 Das Threat Modeling Tool herunterladenDownload the Threat Modeling Tool
22 Unseren Leitfaden zu den ersten Schritten lesenRead Our getting started guide
33 Sich mit den Funktionen vertraut machenGet familiar with the features
44 Die Kategorien generierter Bedrohungen kennenlernenLearn about generated threat categories
55 Entschärfungen für generierte Bedrohungen findenFind mitigations to generated threats

RessourcenResources

Es folgen einige ältere Artikel, die auch heute noch für die Modellierung von Bedrohungen relevant sind:Here are a few older articles still relevant to threat modeling today:

Sehen Sie sich an, was einige Threat Modeling Tool-Experten getan haben:Check out what a few Threat Modeling Tool experts have done: