Microsoft Threat Modeling Tool oplossingen
De Threat Modeling Tool is een kernelement van de Microsoft Security Development Lifecycle (SDL). Hiermee kunnen softwarearchitecten potentiële beveiligingsproblemen in een vroeg stadium identificeren en verhelpen, wanneer ze relatief eenvoudig en kostenefficiënt zijn op te lossen. Als gevolg hiervan vermindert het de totale kosten van ontwikkeling aanzienlijk. We hebben het hulpprogramma ook ontworpen met niet-beveiligingsexperts in gedachten, waardoor bedreigingsmodellen eenvoudiger worden gemaakt voor alle ontwikkelaars door duidelijke richtlijnen te bieden voor het maken en analyseren van bedreigingsmodellen.
Bezoek de Threat Modeling Tool om vandaag nog aan de slag te gaan!
Risicobeperkingscategorieën
De Threat Modeling Tool oplossingen worden gecategoriseerd volgens het webtoepassingsbeveiligingsframe, dat uit het volgende bestaat:
| Categorie | Beschrijving |
|---|---|
| Controle en logboekregistratie | Wie heeft wat gedaan en wanneer? Controle en logboekregistratie verwijzen naar hoe uw toepassing beveiligingsgebeurtenissen registreert |
| Verificatie | Wat is uw rol? Verificatie is het proces waarbij een entiteit de identiteit van een andere entiteit bewijst, meestal via referenties, zoals een gebruikersnaam en wachtwoord |
| Autorisatie | Wat kun je doen? Autorisatie is de wijze waarop uw toepassing toegangsbeheer biedt voor resources en bewerkingen |
| Communicatiebeveiliging | Met wie praat je? Communication Security zorgt ervoor dat alle communicatie zo veilig mogelijk is |
| Configuratiebeheer | Met wie wordt uw toepassing uitgevoerd? Met welke databases wordt verbinding gemaakt? Hoe wordt uw toepassing beheerd? Hoe worden deze instellingen beveiligd? Configuratiebeheer verwijst naar de manier waarop uw toepassing deze operationele problemen verwerkt |
| Cryptografie | Hoe bewaart u geheimen (vertrouwelijkheid)? Hoe controleert u uw gegevens of bibliotheken (integriteit)? Hoe verstrekt u seeds voor willekeurige waarden die cryptografisch sterk moeten zijn? Cryptografie verwijst naar hoe uw toepassing vertrouwelijkheid en integriteit afdwingt |
| Uitzonderingenbeheer | Wat doet uw toepassing wanneer een methode-aanroep in uw toepassing mislukt? Hoeveel onthult u? Retourneert u beschrijvende foutinformatie naar eindgebruikers? Geeft u waardevolle uitzonderingsinformatie door aan de beller? Mislukt uw toepassing probleemloos? |
| Invoervalidatie | Hoe weet u of de invoer die uw toepassing ontvangt, geldig en veilig is? Invoervalidatie verwijst naar de wijze waarop uw toepassing invoer filtert, scrubt of afwijst vóór aanvullende verwerking. Overweeg invoer te beperken via ingangspunten en coderingsuitvoer via afsluitpunten. Vertrouwt u gegevens uit bronnen zoals databases en bestandsshares? |
| Gevoelige gegevens | Hoe gaat uw toepassing om met gevoelige gegevens? Gevoelige gegevens verwijzen naar de manier waarop uw toepassing gegevens verwerkt die moeten worden beveiligd in het geheugen, via het netwerk of in permanente opslag |
| Sessiebeheer | Hoe verwerkt en beveiligt uw toepassing gebruikerssessies? Een sessie verwijst naar een reeks gerelateerde interacties tussen een gebruiker en uw webtoepassing |
Dit helpt u bij het identificeren van:
- Waar bevinden zich de meest voorkomende fouten die zijn gemaakt
- Waar zijn de verbeteringen die het meest kunnen worden uitgevoerd?
Als gevolg hiervan gebruikt u deze categorieën om uw beveiligingswerk te focussen en prioriteit te geven, zodat u daar kunt beginnen als u weet dat de meest voorkomende beveiligingsproblemen optreden in de invoervalidatie, verificatie en autorisatiecategorieën. Ga voor meer informatie naar deze patentkoppeling
Volgende stappen
Ga naar Threat Modeling Tool Bedreigingen voor meer informatie over de bedreigingscategorieën die het hulpprogramma gebruikt om mogelijke ontwerpbedreigingen te genereren.