Mitigaciones de Microsoft Threat Modeling ToolMicrosoft Threat Modeling Tool mitigations

Threat Modeling Tool es un elemento básico del Ciclo de vida de desarrollo de seguridad (SDL) de Microsoft.The Threat Modeling Tool is a core element of the Microsoft Security Development Lifecycle (SDL). Permite a los arquitectos de software identificar y mitigar los posibles problemas de seguridad en una fase temprana, cuando son relativamente sencillos y poco costosos de resolver.It allows software architects to identify and mitigate potential security issues early, when they are relatively easy and cost-effective to resolve. En consecuencia, reduce en gran medida el costo total de desarrollo.As a result, it greatly reduces the total cost of development. Además, hemos diseñado la herramienta pensando en expertos no relacionados con la seguridad, lo que facilita el modelado de amenazas para todos los programadores, ya que se proporcionan instrucciones claras sobre cómo crear y analizar los modelos de amenazas.Also, we designed the tool with non-security experts in mind, making threat modeling easier for all developers by providing clear guidance on creating and analyzing threat models.

Visite Threat Modeling Tool .Visit the Threat Modeling Tool to get started today!

Categorías de mitigaciónMitigation categories

Las mitigaciones de la Herramienta de modelado de amenazas se clasifican según el marco de seguridad de aplicación web, que consta de las siguientes acciones:The Threat Modeling Tool mitigations are categorized according to the Web Application Security Frame, which consists of the following:

CategoríaCategory DESCRIPCIÓNDescription
Auditoría y registroAuditing and Logging ¿Quién hizo qué y cuándo?Who did what and when? La auditoría y el registro hacen referencia a cómo registra la aplicación los eventos relacionados con la seguridad.Auditing and logging refer to how your application records security-related events
AutenticaciónAuthentication ¿Quién es usted?Who are you? La autenticación es el proceso en el que una entidad demuestra la identidad de otra entidad, normalmente por medio de credenciales, como un nombre de usuario y una contraseña.Authentication is the process where an entity proves the identity of another entity, typically through credentials, such as a user name and password
AutorizaciónAuthorization ¿Qué puede hacer?What can you do? La autorización es la forma en que la aplicación proporciona controles de acceso para los recursos y operaciones.Authorization is how your application provides access controls for resources and operations
Seguridad en las comunicacionesCommunication Security ¿Con quién está hablando?Who are you talking to? La seguridad de comunicaciones garantiza que todas las comunicaciones realizadas sean lo más seguras posibles.Communication Security ensures all communication done is as secure as possible
Administración de configuraciónConfiguration Management ¿Quién ejecuta la aplicación?Who does your application run as? ¿A qué bases de datos se conecta?Which databases does it connect to? ¿Cómo se administra la aplicación?How is your application administered? ¿Cómo se protege esta configuración?How are these settings secured? La administración de configuración hace referencia a cómo controla la aplicación estos problemas de funcionamiento.Configuration management refers to how your application handles these operational issues
CriptografíaCryptography ¿Cómo mantiene los secretos (confidencialidad)?How are you keeping secrets (confidentiality)? ¿Cómo altera y corrige los datos o las bibliotecas (integridad)?How are you tamper-proofing your data or libraries (integrity)? ¿Cómo proporciona valores de inicialización para valores aleatorios que deben ser de alta seguridad criptográfica?How are you providing seeds for random values that must be cryptographically strong? La criptografía hace referencia a cómo exige la aplicación confidencialidad e integridad.Cryptography refers to how your application enforces confidentiality and integrity
Administración de excepcionesException Management Cuando se produce un error en una llamada al método en la aplicación, ¿qué hace la aplicación?When a method call in your application fails, what does your application do? ¿Cuánta información revela?How much do you reveal? ¿Devuelve una información de error descriptiva a los usuarios finales?Do you return friendly error information to end users? ¿Envía información valiosa sobre excepciones al llamador?Do you pass valuable exception information back to the caller? ¿La aplicación da errores leves?Does your application fail gracefully?
Validación de entradasInput Validation ¿Cómo sabe que las entradas que recibe la aplicación son válidas y seguras?How do you know that the input your application receives is valid and safe? La validación de entradas hace referencia a cómo filtra, anula o rechaza la aplicación las entradas antes de seguir con el procesamiento.Input validation refers to how your application filters, scrubs, or rejects input before additional processing. Considere la posibilidad de restringir las entradas a través de puntos de entrada y de codificar las salidas a través de puntos de salida.Consider constraining input through entry points and encoding output through exit points. ¿Confía en datos de orígenes como bases de datos y recursos compartidos de archivos?Do you trust data from sources such as databases and file shares?
Información confidencialSensitive Data ¿Cómo maneja la aplicación la información confidencial?How does your application handle sensitive data? La información confidencial hace referencia a cómo trata la aplicación los datos que deben protegerse en la memoria, en la red o en almacenes permanentes.Sensitive data refers to how your application handles any data that must be protected either in memory, over the network, or in persistent stores
Administración de sesionesSession Management ¿Cómo controla y protege la aplicación las sesiones de usuario?How does your application handle and protect user sessions? Una sesión hace referencia a una serie de interacciones relacionadas entre un usuario y la aplicación web.A session refers to a series of related interactions between a user and your Web application

Esto ayuda a identificar:This helps you identify:

  • Dónde se realizan los errores más comunesWhere are the most common mistakes made
  • Dónde son las mejoras más procesablesWhere are the most actionable improvements

En consecuencia, utiliza estas categorías para centrarse y priorizar el trabajo de seguridad, por lo que si sabe que los problemas de seguridad más frecuentes se producen en las categorías de validación, autenticación y autorización de entradas, puede empezar por ahí.As a result, you use these categories to focus and prioritize your security work, so that if you know the most prevalent security issues occur in the input validation, authentication and authorization categories, you can start there. Para obtener más información, consulte este vínculo de patenteFor more information visit this patent link

Pasos siguientesNext steps

Visite Amenazas de Threat Modeling Tool para obtener más información sobre las categorías de amenaza que la herramienta usa para generar las amenazas de diseño posibles.Visit Threat Modeling Tool Threats to learn more about the threat categories the tool uses to generate possible design threats.