Exercício de modelagem de ameaças

  • 1 minuto

A segurança não pode ser um departamento separado e isolado. Ela também não pode ser adicionada ao final de um projeto. A segurança precisa fazer parte de DevOps e, essa junção é chamada de DevSecOps.

O maior ponto fraco não é saber qual é a falha na solução. A Microsoft criou uma ferramenta de modelagem de ameaças para corrigir isso, o que ajuda você a entender possíveis vulnerabilidades de segurança na solução.

O Threat Modeling Tool é um elemento fundamental do SDL (ciclo de vida de desenvolvimento de segurança) da Microsoft.

Ele permite que os arquitetos de software identifiquem e mitiguem possíveis problemas de segurança logo no início, quando eles são relativamente fáceis e econômicos de serem resolvidos.

Como resultado, ele reduz radicalmente o custo total de desenvolvimento.

Criamos a ferramenta visando especialistas que não sejam de segurança, o que facilita a modelagem de ameaças para todos os desenvolvedores por fornecer diretrizes claras sobre como criar e analisar modelos de ameaça.

A ferramenta permite que qualquer pessoa:

  • Comunique-se sobre o design de segurança dos sistemas.
  • Analise esses designs para saber se há possíveis problemas de segurança usando uma metodologia comprovada.
  • Sugira e gerencie mitigações de problemas de segurança.

Neste exercício, veremos como é fácil usar o Threat Modeling Tool para identificar possíveis vulnerabilidades na solução de infraestrutura que devem ser consideradas ao provisionar e implantar os recursos do Azure e a solução de aplicativo na solução.

Introdução

Como fazer

  1. Inicie o Microsoft Threat Modeling Tool e escolha a opção para Criar um Modelo.

    Microsoft Threat Modeling Tool.

  2. No painel direito, pesquise e adicione Azure App Service Web App e Azure SQL Database e vincule-os para mostrar um fluxo de solicitação e resposta, conforme demonstrado na imagem a seguir.

    Azure App Service Web App, and Azure SQL Database request cycle.

  3. No menu da barra de ferramentas, selecione Exibição –> Exibição de análise. A exibição de análise mostrará uma lista completa de ameaças categorizadas por severidade.

    Threat list.

  4. Para gerar um relatório completo das ameaças, selecione Relatórios –> Criar relatório completo no menu da barra de ferramentas e escolha um local para salvar o relatório.

    Um relatório completo é gerado com detalhes da ameaça, a fase do SLDC a qual se aplica, uma possível mitigação e links para mais informações.

    Azure App Service Web App, and Azure SQL Database request.

E tem mais

Veja aqui uma lista completa de ameaças que é usada no Threat Modeling Tool.