Exercício de modelagem de ameaças
A segurança não pode ser um departamento separado e isolado. Ela também não pode ser adicionada ao final de um projeto. A segurança precisa fazer parte de DevOps e, essa junção é chamada de DevSecOps.
O maior ponto fraco não é saber qual é a falha na solução. A Microsoft criou uma ferramenta de modelagem de ameaças para corrigir isso, o que ajuda você a entender possíveis vulnerabilidades de segurança na solução.
O Threat Modeling Tool é um elemento fundamental do SDL (ciclo de vida de desenvolvimento de segurança) da Microsoft.
Ele permite que os arquitetos de software identifiquem e mitiguem possíveis problemas de segurança logo no início, quando eles são relativamente fáceis e econômicos de serem resolvidos.
Como resultado, ele reduz radicalmente o custo total de desenvolvimento.
Criamos a ferramenta visando especialistas que não sejam de segurança, o que facilita a modelagem de ameaças para todos os desenvolvedores por fornecer diretrizes claras sobre como criar e analisar modelos de ameaça.
A ferramenta permite que qualquer pessoa:
- Comunique-se sobre o design de segurança dos sistemas.
- Analise esses designs para saber se há possíveis problemas de segurança usando uma metodologia comprovada.
- Sugira e gerencie mitigações de problemas de segurança.
Neste exercício, veremos como é fácil usar o Threat Modeling Tool para identificar possíveis vulnerabilidades na solução de infraestrutura que devem ser consideradas ao provisionar e implantar os recursos do Azure e a solução de aplicativo na solução.
Introdução
- Baixe e instale o Threat Modeling Tool.
Como fazer
Inicie o Microsoft Threat Modeling Tool e escolha a opção para Criar um Modelo.
No painel direito, pesquise e adicione
Azure App Service Web App
eAzure SQL Database
e vincule-os para mostrar um fluxo de solicitação e resposta, conforme demonstrado na imagem a seguir.No menu da barra de ferramentas, selecione Exibição –> Exibição de análise. A exibição de análise mostrará uma lista completa de ameaças categorizadas por severidade.
Para gerar um relatório completo das ameaças, selecione Relatórios –> Criar relatório completo no menu da barra de ferramentas e escolha um local para salvar o relatório.
Um relatório completo é gerado com detalhes da ameaça, a fase do SLDC a qual se aplica, uma possível mitigação e links para mais informações.
E tem mais
Veja aqui uma lista completa de ameaças que é usada no Threat Modeling Tool.