Microsoft Threat Modeling Tool-kockázatcsökkentések
A Threat Modeling Tool a Microsoft biztonsági fejlesztési életciklusának (SDL) alapvető eleme. Lehetővé teszi a szoftvertervezők számára a potenciális biztonsági problémák korai azonosítását és elhárítását, ha viszonylag egyszerűek és költséghatékonyak a megoldásuk. Ennek eredményeképpen jelentősen csökkenti a fejlesztés teljes költségét. Az eszközt nem biztonsági szakértőkkel együtt terveztük meg, így a fenyegetésmodellezés minden fejlesztő számára egyszerűbbé válik azáltal, hogy világos útmutatást ad a fenyegetésmodellek létrehozásához és elemzéséhez.
Látogasson el a Threat Modeling Tool a mai kezdéshez!
Kockázatcsökkentési kategóriák
A Threat Modeling Tool kockázatcsökkentések a webalkalmazás biztonsági kerete szerint vannak kategorizálva, amely a következőkből áll:
Kategória | Leírás |
---|---|
Naplózás és naplózás | Ki mit és mikor csinált? A naplózás és a naplózás azt ismerteti, hogy az alkalmazás hogyan rögzíti a biztonsággal kapcsolatos eseményeket |
Hitelesítés | Melyik szerepbe tartozik? A hitelesítés az a folyamat, amelyben egy entitás egy másik entitás identitását bizonyítja, általában hitelesítő adatokkal, például felhasználónévvel és jelszóval. |
Engedélyezés | Mit tehet? Az engedélyezés az, ahogyan az alkalmazás hozzáférést biztosít az erőforrásokhoz és műveletekhez |
Kommunikációs biztonság | Kivel beszélsz? A Kommunikációbiztonság biztosítja, hogy minden kommunikáció a lehető legbiztonságosabb legyen |
Konfigurációkezelés | Kiként fut az alkalmazás? Mely adatbázisokhoz csatlakozik? Hogyan történik az alkalmazás felügyelete? Hogyan védik ezeket a beállításokat? A konfigurációkezelés azt jelenti, hogy az alkalmazás hogyan kezeli ezeket az üzemeltetési problémákat |
Titkosítás | Hogyan őrzi meg a titkos kulcsokat (titoktartást)? Hogyan módosítja az adatokat vagy kódtárakat (integritás)? Hogyan ad magokat a véletlenszerű értékeknek, amelyeknek kriptográfiailag erősnek kell lenniük? A titkosítás arra utal, hogy az alkalmazás hogyan kényszeríti ki a bizalmasságot és az integritást |
Kivételkezelés | Ha egy metódushívás meghiúsul az alkalmazásban, mit tesz az alkalmazás? Mennyit árul el? Rövid hibainformációkat ad vissza a végfelhasználóknak? Értékes kivételadatokat ad vissza a hívónak? Az alkalmazás kecsesen meghiúsul? |
Bemeneti ellenőrzés | Honnan tudja, hogy az alkalmazás által kapott bemenet érvényes és biztonságos? A bemeneti ellenőrzés azt jelenti, hogy az alkalmazás hogyan szűri, tisztítja meg vagy utasítja el a bemenetet a további feldolgozás előtt. Fontolja meg a bemeneti adatok belépési pontokon keresztüli korlátozását és a kimenet kilépési pontokon keresztüli kódolását. Megbízik az olyan forrásokból származó adatokban, mint az adatbázisok és a fájlmegosztások? |
Bizalmas adatok | Hogyan kezeli az alkalmazás a bizalmas adatokat? A bizalmas adatok azt jelentik, hogy az alkalmazás hogyan kezeli azokat az adatokat, amelyeket védeni kell a memóriában, a hálózaton vagy az állandó tárolókban |
Munkamenet-kezelés | Hogyan kezeli és védi az alkalmazás a felhasználói munkameneteket? A munkamenetek a felhasználó és a webalkalmazás közötti kapcsolódó interakciók sorozatára utalnak |
Ez segít azonosítani a következőt:
- Hol vannak a leggyakoribb hibák?
- Hol vannak a legművelhetőbb fejlesztések?
Ennek eredményeképpen ezeket a kategóriákat használja a biztonsági feladatok összpontosítására és rangsorolására, így ha tudja, hogy a leggyakoribb biztonsági problémák a bemeneti érvényesítési, hitelesítési és engedélyezési kategóriákban fordulnak elő, ott kezdheti el. További információkért látogasson el erre a szabadalmi hivatkozásra
Következő lépések
Látogasson el Threat Modeling Tool Fenyegetések webhelyre, ahol többet tudhat meg az eszköz által a lehetséges tervezési fenyegetések létrehozásához használt fenyegetéskategóriákról.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: