mitigações de Microsoft Threat Modeling Tool
O Threat Modeling Tool é um elemento central do Ciclo de Vida de Desenvolvimento de Segurança (SDL) da Microsoft. Permite aos arquitetos de software identificar e mitigar potenciais problemas de segurança mais cedo, quando são relativamente fáceis e rentáveis de resolver. Como resultado, reduz consideravelmente o custo total do desenvolvimento. Além disso, criámos a ferramenta com especialistas que não são de segurança em mente, facilitando a modelação de ameaças para todos os programadores ao fornecer orientações claras sobre como criar e analisar modelos de ameaças.
Visite o Threat Modeling Tool para começar hoje!
Categorias de mitigação
As mitigações Threat Modeling Tool são categorizadas de acordo com o Frame de Segurança da Aplicação Web, que consiste no seguinte:
| Categoria | Descrição |
|---|---|
| Auditoria e Registo | Quem fez o quê e quando? Auditoria e registo referem-se à forma como a sua aplicação regista eventos relacionados com a segurança |
| Autenticação | Qual é a sua função? A autenticação é o processo em que uma entidade prova a identidade de outra entidade, normalmente através de credenciais, como um nome de utilizador e palavra-passe |
| Autorização | O que pode fazer? Autorização é como a sua aplicação fornece controlos de acesso para recursos e operações |
| Segurança de Comunicação | Com quem está a falar? Segurança de Comunicação garante que toda a comunicação efetuada é o mais segura possível |
| Gestão de Configuração | Quem é que a sua aplicação é executada como? A que bases de dados se liga? Como é administrada a sua aplicação? Como é que estas definições estão protegidas? A gestão de configuração refere-se à forma como a sua aplicação lida com estes problemas operacionais |
| Criptografia | Como está a guardar segredos (confidencialidade)? Como está a verificar a verificação de adulteração dos seus dados ou bibliotecas (integridade)? Como está a fornecer sementes para valores aleatórios que têm de ser criptograficamente fortes? Criptografia refere-se à forma como a sua aplicação impõe confidencialidade e integridade |
| Gestão de Exceções | Quando uma chamada de método na sua aplicação falha, o que faz a sua aplicação? Quanto revela? Devolve informações de erro amigáveis aos utilizadores finais? Passa informações de exceção valiosas para o autor da chamada? A sua aplicação falha corretamente? |
| Validação de Entrada | Como sabe que a entrada que a sua aplicação recebe é válida e segura? A validação de entrada refere-se à forma como a sua aplicação filtra, limpa ou rejeita a entrada antes do processamento adicional. Considere restringir a entrada através dos pontos de entrada e codificar a saída através dos pontos de saída. Confia em dados de origens como bases de dados e partilhas de ficheiros? |
| Dados Confidenciais | Como é que a sua aplicação lida com dados confidenciais? Dados confidenciais referem-se à forma como a sua aplicação processa quaisquer dados que têm de ser protegidos na memória, através da rede ou em arquivos persistentes |
| Gestão de Sessões | Como é que a sua aplicação lida e protege as sessões de utilizador? Uma sessão refere-se a uma série de interações relacionadas entre um utilizador e a sua aplicação Web |
Isto ajuda-o a identificar:
- Onde estão os erros mais comuns cometidos
- Onde estão as melhorias mais acionáveis
Como resultado, utiliza estas categorias para focar e priorizar o seu trabalho de segurança, para que, se souber que os problemas de segurança mais predominantes ocorram nas categorias de validação, autenticação e autorização de entrada, pode começar aí. Para obter mais informações, visite esta ligação de patente
Passos seguintes
Visite Threat Modeling Tool Ameaças para saber mais sobre as categorias de ameaças que a ferramenta utiliza para gerar possíveis ameaças de conceção.