Descripción del modelado de amenazas
El modelado de amenazas es un elemento principal del ciclo de vida de desarrollo de seguridad (SDL) de Microsoft.
Se trata de una técnica de ingeniería que puede usar para ayudarle a identificar amenazas, ataques, vulnerabilidades y contramedidas que podrían afectar a la aplicación.
Puede usar el modelado de amenazas para dar forma al diseño de la aplicación, cumplir los objetivos de seguridad de su empresa y reducir el riesgo.
Teniendo en cuenta los expertos que no son de seguridad, la herramienta facilita el modelado de amenazas para todos los desarrolladores al proporcionar instrucciones claras sobre cómo crear y analizar modelos de amenazas.
Hay cinco pasos principales de modelado de amenazas:
- Definición de los requisitos de seguridad.
- Creación de un diagrama de aplicación.
- Identificación de amenazas.
- Mitigación de amenazas.
- Validar que se han mitigado las amenazas.
El modelado de amenazas debe formar parte del ciclo de vida de desarrollo típico, lo que le permite refinar el modelo de amenazas y reducir progresivamente el riesgo.
Herramienta de modelado de amenazas de Microsoft
Microsoft Threat Modeling Tool facilita el modelado de amenazas para todos los desarrolladores a través de una notación estándar para visualizar los componentes del sistema, los flujos de datos y los límites de seguridad.
También ayuda a los modeladores de amenazas a identificar las clases de amenazas que deben tener en cuenta en función de la estructura de su diseño de software.
La herramienta se ha diseñado pensando en expertos que no son de seguridad, lo que facilita el modelado de amenazas para todos los desarrolladores al proporcionar instrucciones claras sobre cómo crear y analizar modelos de amenazas.
Threat Modeling Tool permite a cualquier desarrollador o arquitecto de software:
- Comunicarse sobre el diseño de seguridad de sus sistemas.
- Analice esos diseños para detectar posibles problemas de seguridad mediante una metodología probada.
- Sugerir y administrar la mitigación de problemas de seguridad.
Para obtener más información, puede ver:
- Información general de las características de la herramienta de modelado de amenazas .
- Microsoft Threat Modeling Tool.