La première itération de Outil de modélisation des menaces Microsoft a été déployée en 2011. À l'époque, le programme connu sous le nom de Cycle de vie du développement de la sécurité ou bien clairement, SDL Threat Modeling Tool a permis aux experts en la matière non liés à la sécurité de créer et d’analyser des modèles de menace en:
- Communiquer sur la conception de la sécurité de leurs systèmes
- Analyse de la conception pour détecter d'éventuels problèmes de sécurité à l'aide d'une méthodologie éprouvée
- Suggérer et gérer des mesures d'atténuation pour des problèmes de sécurité
L'outil souffrait toutefois de quelques erreurs et de certaines limitations prévues. Cette réalisation a incité Microsoft à proposer une version mise à jour de l'outil basée sur les commentaires des clients et leurs suggestions d'amélioration.
Outil de modélisation des menaces Microsoft
Deuxièmement, la mise à jour inclut également la possibilité de migrer des modèles de menaces existants construits avec la version 3.1.8 vers le nouveau format. Les utilisateurs de l'outil de modélisation des menaces peuvent simplement télécharger des définitions de menaces personnalisées existantes dans l'outil.
Outre les caractéristiques décrites ci-dessus, le Outil de modélisation des menaces Microsoft inclut des améliorations apportées à ses capacités de visualisation, la personnalisation intègre des modèles plus anciens et des définitions de menaces, ainsi qu'une modification qui génère des menaces.
Nouvelle surface de dessin
La nouvelle version fournit un flux de travail simplifié pour la création d'un modèle de menace et permet de supprimer les dépendances existantes. Microsoft explique que les utilisateurs auront une interface utilisateur intuitive avec une navigation facile pour créer des modèles de menace.
FOULE PAR INTERACTION
L'une des améliorations majeures de cette version est un changement d'approche concernant la manière dont les personnes génèrent des menaces. Microsoft Threat Modeling Tool 2014 utilise STRIDE par interaction pour la génération de menaces. Les versions antérieures de l'outil utilisaient STRIDE par élément.
Migration pour les modèles v3
Le cycle de vie du développement de la sécurité Microsoft ou l’outil de modélisation des menaces SDL facilite la mise à jour des anciens modèles de menaces par les utilisateurs. Comment? Vous pouvez migrer les modèles de menace créés avec Threat Modeling Tool v3.1.8 au format de Microsoft Threat Modeling Tool 2014.
Mettre à jour les définitions de menaces
Différentes options de personnalisation sont disponibles pour les utilisateurs! Microsoft affirme qu'il offre la possibilité de personnaliser l'outil en fonction de son domaine spécifique. Les personnes peuvent étendre les définitions de menace incluses avec les leurs après avoir créé le format XML fourni. Pour plus de détails sur l'ajout de vos propres menaces, Microsoft suggère d'utiliser le SDK de l'outil de modélisation des menaces.
Microsoft Threat Modelling Tool 2014 comes with a base set of threat definitions using STRIDE categories. This set includes only suggested threat definitions and mitigations which are automatically generated to show potential security vulnerabilities for your data flow diagram. You should analyze your threat model with your team to ensure you have addressed all potential security pitfalls, blogged Emil Karafezov, program manager on the Secure Development Tools and Policies team at Microsoft.
Pour plus d'informations, visitez les blogs MSDN. Vous pouvez télécharger le Outil de modélisation des menaces Microsoft 2016 ici.
