文章前言
威胁建模(Threat Modeling)是一个不断循环的动态模型,它可以帮助企业确定对应用程序造成影响的威胁、攻击、漏洞和对策,企业可以使用威胁建模来形成应用程序的设计、实现企业的安全目标以及降低风险
工具介绍
Microsoft Threat Modeling Tool是由微软在2018年9月作为GA发布的一款威胁 建模工具,该工具为创建关系图、识别威胁、缓解问题、验证每个缓解操作提供了流程化和可视化的展示,下面的关系图重点突出了此过程:
![](https://img-blog.csdnimg.cn/img_convert/d13e378cb434b72cc6043daa3624f129.png)
工具安装
下载地址:https://aka.ms/threatmodelingtool
安装软件:
![](https://img-blog.csdnimg.cn/img_convert/824094bf026def6d9392ebb414250511.png)
工具面板
启动威胁建模工具时您将会到下图显示的几项
![](https://img-blog.csdnimg.cn/img_convert/29ba224a62727f289ac7bb5632ced6c3.png)
选择"Create A Model"之后进入模型创建页面
![](https://img-blog.csdnimg.cn/img_convert/869fbef6d8b692078e55239a39803eae.png)
菜单项功能:
![](https://img-blog.csdnimg.cn/img_convert/5e530769ea716729a65d455cb5242754.png)
符号菜单项:
![](https://img-blog.csdnimg.cn/img_convert/44a59455734886713f70bdaec8b27695.png)
模具就是威胁建模中所使用的单位,例如:一个APP、一个服务器、一个数据库或者一个请求,它们共同构成了一个系统运行的拓扑,通过这个拓扑图威胁建模工具能够分析出其中的安全隐患,常见的模具有如下几类:
![](https://img-blog.csdnimg.cn/img_convert/81428e6204ab9609fb3844f0a887ff98.png)
工具使用
威胁建模是一个较为复杂和困难的工作,其难点在于对业务系统的了解度,如果对系统逻辑非常了解,那么很快就能完成一个系统的威胁建模,反之如果对系统逻辑一知半解,那么完成一次威胁建模就需要多方协作配合,这就成了一个复杂的过程,在进行威胁建模时只需进行以下几步:
将左边模具栏的模具拖动到画布上
双击画布上的模具,修改其属性值
最终构成了完整的业务系统逻辑图
![](https://img-blog.csdnimg.cn/img_convert/b203e9f929cdda8b5df7854b1d8c31e2.png)
![](https://img-blog.csdnimg.cn/img_convert/d54c8178d3131208bb8dd4d650edb3ef.png)
文末小结
总体而言这款小工具用起来还是可以的,就是感觉有些模具并不是那么很齐全