微软威胁建模工具 STRIDE

这篇具有很好参考价值的文章主要介绍了微软威胁建模工具 STRIDE。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

威胁建模要回答的四个问题

  1. what are we woking on 

  2. what can go wrong

  3. what are we going to do about this

  4. did we do a good enough job

说到threat modeling 不得不提的就是微软的STRIDE

微软也提供了工具来做这个工作

Microsoft Threat Modeling Tool overview - Azure | Microsoft Learn

工具提供模板来建模,分析威胁,算是简单易上手的。

工具的使用

1 DFD 画图

画出产品服务的数据流图,以下是图标的示意

微软威胁建模工具 STRIDE

 画了个demo,大概是这个意思

微软威胁建模工具 STRIDE

 

2. 分析 

点下分析试图,就可以生产threat列表了

微软威胁建模工具 STRIDE

 还有每个威胁的描述。

每个元素和stride威胁对应关系大概是酱紫的

微软威胁建模工具 STRIDE

 

3 报告

工具支持生成report用户团队间共享

微软威胁建模工具 STRIDE

 然后呢,就是逐个分析各个元素的威胁并且提供消解方案措施了文章来源地址https://www.toymoban.com/news/detail-466779.html

到了这里,关于微软威胁建模工具 STRIDE的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 超好用的devsecops工具(威胁建模工具)

    目录 1Microsoft-Threat-Modeling-Tool 工具详情 2Threat Modeling Platform - Version 4 试用链接:IriusRisk V4 Threat Modeling Platform 公司简介 产品特点 3ThreatMoeler 试用链接:Threatmodeler - ThreatModeler 工具特点 工具对比 Microsoft Threat Modeling Tool 概述 - Azure | Microsoft Docs IriusRisk是业界领先的应用程序安全

    2024年02月17日
    浏览(65)
  • SDL—威胁建模PASTA

    已经在之前的篇章里学习了STRIDE,可以参考: SDL—设计 SDL—威胁建模STRIDE VerSprite Security公司在2012年提出的PASTA(Process for Attack Simulation and Threat Analysis)通过风险为中心的威胁建模方法,针对应用程序或系统环境识别可行的威胁模式。 以风险为中心,量化可能影响业务或系

    2024年02月01日
    浏览(54)
  • ToBeWritten之固件威胁建模

    也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大 少走了弯路,也就错过了风景,无论如何,感谢经历 转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球 感谢大家一直以来对我CSDN博客的关注和支持,但

    2023年04月19日
    浏览(46)
  • 软件安全设计(威胁建模实现)

    目录 一、实验目的 二、实验软硬件要求 三、实验预习 四、实验内容(实验步骤、测试数据等) 实验步骤 确定安全目标 创建在线学习系统概况图 分解在线学习系统 确定威胁 威胁评估 确定威胁缓解计划或策略 验证和记录威胁 熟悉软件安全需求分析方法,掌握软件安全分析

    2024年02月07日
    浏览(49)
  • ToBeWritten之IoT 威胁建模

    也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大 少走了弯路,也就错过了风景,无论如何,感谢经历 转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球 感谢大家一直以来对我CSDN博客的关注和支持,但

    2023年04月09日
    浏览(41)
  • 常见威胁建模框架分析与比较

    威胁建模的方法最初是为了帮助开发更多的安全的操作系统,但已经开发的大量威胁建模方法,有些只关注软件发展,有些仅涵盖业务或组织的风险和威胁,另有一些可能是技术性的,不同的威胁模型都在基于不同的目的而开发和使用的。 美国国土安全部( DHS )的下一代网

    2024年02月09日
    浏览(42)
  • 系统安全设计的方法--威胁建模

        一个IT系统是复杂的,随着提供更多的业务功能它会变得越来越复杂。这意味着一个IT系统的设计决策需要考虑到越来越多的情况,包括安全的情况。因此催生了DevSecOps、SDL的发展,以期规避可能导致影响业务结果的潜在安全威胁。这时除了要对IT系统进行功能建模、性能

    2023年04月19日
    浏览(41)
  • AWS教你如何做威胁建模

    写在前面 准备威胁建模 组建虚拟团队 四个阶段的结构化思考 车联网威胁建模例子 1、我们在做什么?为车辆登记功能创建系统模型 2、会出什么问题?识别功能威胁 3、我们要怎么做?确定威胁的优先级并选择缓解措施 4、我们做得足够好吗?评估威胁建模过程的有效性 附录

    2024年02月08日
    浏览(34)
  • 提高安全投资回报:威胁建模和OPEN FAIR™风险分析

    对大多数人和企业来说,安全意味着一种成本。但重要的是如何获得适合的量,而不是越多越好。然而,你如何决定什么时候可以有足够的安全性,以及你如何获得它?则完全是另一回事。 该篇文章是 由The Open Group安全论坛主办,微软和Kyndryl等企业的安全专家以及其他安全

    2024年03月19日
    浏览(50)
  • ToBeWritten之IoT Web、移动应用、设备硬件、无线电通信、IoV威胁建模

    也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大 少走了弯路,也就错过了风景,无论如何,感谢经历 转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球 感谢大家一直以来对我CSDN博客的关注和支持,但

    2024年02月01日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包