Descripción del modelado de amenazas

  • 1 minuto

El modelado de amenazas es un elemento fundamental del Ciclo de vida de desarrollo de seguridad de Microsoft (SDL).

Se trata de una técnica de ingeniería que puede usar para identificar amenazas, ataques, vulnerabilidades y contramedidas que podrían afectar a la aplicación.

Puede usar el modelado de amenazas para dar forma al diseño de la aplicación, cumplir los objetivos de seguridad de la empresa y reducir el riesgo.

Pensando en expertos que no son de seguridad, la herramienta facilita el modelado de amenazas para todos los desarrolladores al proporcionar instrucciones claras sobre la creación y el análisis de modelos de amenazas.

Diagrama en el que se muestran cinco fases: definición, diagrama, identificación, mitigación y validación.

Hay cinco pasos principales de modelado de amenazas:

  • Definición de requisitos de seguridad.
  • Creación de un diagrama de aplicaciones.
  • Identificación de amenazas.
  • Mitigación de amenazas.
  • Validación de que se han mitigado las amenazas.

El modelado de amenazas debe formar parte de su ciclo de vida de desarrollo típico, para permitirle mejorar el modelo de amenazas y reducir progresivamente el riesgo.

Microsoft Threat Modeling Tool

La Microsoft Threat Modeling Tool facilita el modelado de amenazas a todos los desarrolladores a través de una notación estándar para visualizar los componentes del sistema, los flujos de datos y los límites de seguridad.

También ayuda a los modeladores de amenazas a identificar las clases de amenazas que deben tener en cuenta en función de la estructura de su diseño de software.

La herramienta se ha diseñado pensando en expertos que no son de seguridad, lo que facilita el modelado de amenazas para todos los desarrolladores al proporcionar instrucciones claras sobre la creación y el análisis de modelos de amenazas.

La Threat Modeling Tool permite a cualquier desarrollador o arquitecto de software lo siguiente:

  • Comunicar el diseño de seguridad de sus sistemas.
  • Analizar esos diseños en busca de posibles problemas de seguridad mediante una metodología probada.
  • Sugerir y administrar la mitigación de problemas de seguridad.

Para más información, puede ver lo siguiente: