Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Het Threat Modeling Tool is een belangrijk element van de Microsoft Security Development Lifecycle (SDL). Hiermee kunnen softwarearchitecten potentiële beveiligingsproblemen vroegtijdig identificeren en beperken, wanneer ze relatief eenvoudig en rendabel zijn om op te lossen. Als gevolg hiervan vermindert het de totale kosten van ontwikkeling aanzienlijk. Daarnaast hebben we het hulpprogramma ontworpen met niet-beveiligingsexperts in het achterhoofd, waardoor bedreigingsmodellering voor alle ontwikkelaars eenvoudiger wordt door duidelijke richtlijnen te bieden voor het maken en analyseren van bedreigingsmodellen.
Ga naar het Threat Modeling Tool om vandaag nog aan de slag te gaan.
Met het hulpprogramma Threat Modeling kunt u bepaalde vragen beantwoorden, zoals de onderstaande vragen:
- Hoe kan een aanvaller de verificatiegegevens wijzigen?
- Wat is de impact als een aanvaller de gebruikersprofielgegevens kan lezen?
- Wat gebeurt er als de toegang tot de gebruikersprofieldatabase wordt geweigerd?
STRIDE-model
Microsoft maakt gebruik van het STRIDE-model, waarmee verschillende typen bedreigingen worden gecategoraliseerd en de algehele beveiligingsgesprekken worden vereenvoudigd om u beter te helpen bij het formuleren van dergelijke gerichte vragen.
| Categorie | Beschrijving |
|---|---|
| Spoofing | Omvat illegaal toegang tot en vervolgens het gebruik van de verificatiegegevens van een andere gebruiker, zoals gebruikersnaam en wachtwoord |
| Manipulatie | Omvat de schadelijke wijziging van gegevens. Voorbeelden hiervan zijn niet-geautoriseerde wijzigingen die zijn aangebracht in permanente gegevens, zoals die in een database zijn opgeslagen, en de wijziging van gegevens terwijl deze tussen twee computers via een open netwerk stroomt, zoals internet |
| Verwerping | Gekoppeld aan gebruikers die het uitvoeren van een actie weigeren zonder dat andere partijen anders kunnen bewijzen, bijvoorbeeld een gebruiker voert een illegale bewerking uit in een systeem dat niet de mogelijkheid heeft om de verboden bewerkingen te traceren. Niet-repudiatie verwijst naar de mogelijkheid van een systeem om repudiatiebedreigingen tegen te gaan. Een gebruiker die bijvoorbeeld een item koopt, moet zich mogelijk na ontvangst voor het item aanmelden. De leverancier kan vervolgens het ondertekende ontvangstbewijs gebruiken als bewijs dat de gebruiker het pakket heeft ontvangen |
| Openbaarmaking van informatie | Omvat de blootstelling van informatie aan personen die er geen toegang toe mogen hebben, bijvoorbeeld de mogelijkheid van gebruikers om een bestand te lezen waartoe ze geen toegang hebben of de mogelijkheid van een indringer om gegevens tussen twee computers te lezen |
| Denial of Service | DoS-aanvallen (Denial of Service) weigeren service voor geldige gebruikers, bijvoorbeeld door een webserver tijdelijk niet beschikbaar of onbruikbaar te maken. U moet zich beschermen tegen bepaalde typen DoS-bedreigingen om de beschikbaarheid en betrouwbaarheid van het systeem te verbeteren |
| Uitbreiding van bevoegdheden | Een onbevoegde gebruiker krijgt bevoegde toegang en heeft daardoor voldoende toegang tot inbreuk of vernietiging van het hele systeem. Uitbreiding van bevoegdhedenbedreigingen omvatten situaties waarin een aanvaller effectief alle systeembeveiligingen heeft doordrongen en deel uitmaakt van het vertrouwde systeem zelf, een gevaarlijke situatie inderdaad |
Volgende stappen
Ga verder met Threat Modeling Tool Mitigations om de verschillende manieren te leren waarop u deze bedreigingen kunt beperken met Azure.