文章前言
威胁建模(Threat Modeling)是一个不断循环的动态模型,它可以帮助企业确定对应用程序造成影响的威胁、攻击、漏洞和对策,企业可以使用威胁建模来形成应用程序的设计、实现企业的安全目标以及降低风险
工具介绍
Microsoft Threat Modeling Tool是由微软在2018年9月作为GA发布的一款威胁 建模工具,该工具为创建关系图、识别威胁、缓解问题、验证每个缓解操作提供了流程化和可视化的展示,下面的关系图重点突出了此过程:
工具安装
下载地址:https://aka.ms/threatmodelingtool
安装软件:
工具面板
启动威胁建模工具时您将会到下图显示的几项
选择"Create A Model"之后进入模型创建页面
菜单项功能:
符号菜单项:
模具就是威胁建模中所使用的单位,例如:一个APP、一个服务器、一个数据库或者一个请求,它们共同构成了一个系统运行的拓扑,通过这个拓扑图威胁建模工具能够分析出其中的安全隐患,常见的模具有如下几类:
工具使用
威胁建模是一个较为复杂和困难的工作,其难点在于对业务系统的了解度,如果对系统逻辑非常了解,那么很快就能完成一个系统的威胁建模,反之如果对系统逻辑一知半解,那么完成一次威胁建模就需要多方协作配合,这就成了一个复杂的过程,在进行威胁建模时只需进行以下几步:
将左边模具栏的模具拖动到画布上
双击画布上的模具,修改其属性值
最终构成了完整的业务系统逻辑图
文末小结
总体而言这款小工具用起来还是可以的,就是感觉有些模具并不是那么很齐全