Microsoft Threat Analysis & Modeling v2.0 BETA2

Disponibile per il download il Microsoft Threat Analysis & Modeling v2.0 BETA2 (Torpedo…per gli amici Wink [;)]).
Ma di cosa si tratta?
Torpedo è un tool per l’analisi dei potenziali eventi negativi su un software sul fronte della security.
Raffaele descrive con queste parole Torpedo:

Questo tool permette di disegnare un modello del “threat” ossia degli eventi con possibili impatti negativi (furto di dati, denial of service, etc. etc.).
Usando il wizard si descrivono quali siano le funzionalità a blocchi dell’applicazione, i ruoli coinvolti nelle operazioni di CRUD, ma matrice di acccesso a queste funzionalità e il workflow delle chiamate ai vari componenti.
A questo punto si identificano i potenziali eventi negativi (“threat”),  le varie contromisure attingendo dalla libreria integrata “attack library” e il rischio associato a ciascuno di queste. Questo, dal mio punto di vista, è il punto di forza di Torpedo perché permette di ridurre significativamente i controlli sull’applicazione basato sui rischi reali e non sulla vastità di tutte le possibili combinazione di attacchi (come lo sarebbe un tool impostato sull’attacco invece che sulla difesa).
Infine il tool propone un ampio report con i possibili rischi per ciascun threat ed una serie di proposte con esempi sulle contromisure da adottare.

Interessante anche questo video in cui vengono spiegate un po di cose.

Lo proverò in giornata e spero di riuscire a postare presto altri dettagli Smile [:)]