SlideShare una empresa de Scribd logo

Microsoft Threat Modeling Tool

Peter Concha, profile picture
Peter Concha

Este documento presenta una introducción al Modelado de Amenazas y a la herramienta Microsoft Threat Modeling Tool. Explica que el Modelado de Amenazas es una técnica para identificar amenazas, ataques y vulnerabilidades que podrían afectar una arquitectura. La herramienta ayuda a definir requisitos de seguridad, crear diagramas de arquitectura e identificar y mitigar amenazas.

Tecnología
1 de 24
Descargar para leer sin conexión
1
2
3
4
5
6
7
8
9
10
Lo más leído
11
12
13
14
15
16
17
18
19
20
Lo más leído
21
22
Lo más leído
23
24
Microsoft Threat Modeling Tool Peter Concha Regatto Líder de Comunidad
https://about.me/peterconchar
AVANET NACIÓ DE UN SUEÑO LLAMADO ALTRUISMO DIGITAL…
DURANTE 11 AÑOS HA TRABAJO PARA LA COMUNIDAD…
Contagiando gente a lo lejos…
Bienvenidos a SEGRED 17/06/2020
Microsoft Threat Modeling Tool
AGENDA • Introducción a SDL • Introducción al Modelado de Amenazas • Demostración • Referencias • Preguntas
Microsoft SDL Introducción
Qué es SDL? • El Microsoft SDL es el Ciclo de Vida del Desarrollo Seguro. • Introduce consideraciones de seguridad y privacidad en todas las fases del proceso de desarrollo. • Ayudar a los desarrolladores a desarrollar software altamente seguro, abordando los requisitos de cumplimiento de seguridad y reducir los costos de desarrollo. • La orientación, las mejores prácticas, las herramientas y los procesos en el SDL de Microsoft son prácticas que utilizan internamente para crear sus productos y servicios más seguros. Desde que se compartió por primera vez en 2008, han actualizado las prácticas como resultado de su creciente experiencia con nuevos escenarios, como la nube, Internet de las cosas (IoT) e inteligencia artificial (IA). https://www.microsoft.com/en-us/securityengineering/sdl/
Mi equipo no modela amenazas, debo preocuparme?
Por qué debo aplicar SDL? • Cumplimiento regulatorio de manejo de información (Privacidad de Información). • Aumento de confianza y credibilidad de sus clientes. • Reducción de esfuerzo y costos en desarrollo. https://www.microsoft.com/en-us/securityengineering/sdl/
Cuándo debo usar SDL? • Arquitecturas empresariales, negocio o organización. • Arquitecturas que manejen información de identificación personal (PII). • Arquitecturas expuestas en internet u otras redes. • Aplicaciones que procesen datos de fuentes no autenticadas. • Funcionalidades que procesen archivos que no están protegidos. https://www.microsoft.com/en-us/securityengineering/sdl/
Por dónde empiezo?
Por dónde empiezo? Identificando Conociendo el nivel de madurez posee mi organización. Auto evaluando Revisar la guía para evaluar el nivel de madurez. Implementando Usar la guía de recursos para crear un plan de implementación para el avance de la Madurez https://www.microsoft.com/en-us/securityengineering/sdl/
Modelado de Amenazas Introducción
Modelado de Amenazas • Es un elemento central del Ciclo de vida de desarrollo seguro de Microsoft (SDL). Es una técnica de ingeniería que puede usar para ayudarlo a identificar amenazas, ataques, vulnerabilidades y contramedidas que podrían afectar su arquitectura. Puede utilizar el modelado de amenazas para dar forma al diseño de su arquitectura, cumplir con los objetivos de seguridad de su empresa y reducir el riesgo. https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling
Objetivos • Definir los requisitos de seguridad. • Crear un diagrama de arquitectura. • Identificar amenazas. • Mitigar Amenazas. • Validar que las amenazas han sido mitigadas. https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling
Beneficios • No requiere ser experto en seguridad. • Poseer una herramienta de comunicación sobre el diseño de seguridad de sus sistemas. • Tendrá la capacidad de analizar esos diseños, para detectar posibles problemas de seguridad utilizando una metodología probada. • Podrás sugerir y gestionar mitigaciones por problemas de seguridad. https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling
STRIDE (Amenaza) y DREAD (Riesgo) https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling Amenaza Propiedad Deseada Spoofing Autenticidad Tampering Integridad Repudiation No Repudiable Information disclosure Confidencialidad Denial of Service Disponibilidad Elevation of Privilege Autorización
Ejercicio Microsoft Threat Modeling Tool
Referencias • Microsoft Threat Modeling Tool • Guía de Microsoft SDL • Prácticas SDL • Más Recursos y Herramientas • OWASP Zed Attack Proxy(ZAP) • Mitigaciones Microsoft SDL
Preguntas?
https://about.me/peterconchar

Más contenido relacionado

PDF
Επαναληπτικό Ενότητας 11 Φυσική Στ
geoskot2
 
PDF
ΑΝΑΛΥΣΗ ΔΕΚΑΔΙΚΩΝ ΚΛΑΣΜΑΤΩΝ ΠΑΡΟΥΣΙΑΣΗ 33.pdf
Maria Koufopoulou
 
PPT
Λογισμικό
MariaProGr
 
PPTX
ΚΕΦΑΛΑΙΟ 3 - ΕΡΓΟΝΟΜΙΑ
Zisis Lazakis
 
DOCX
ΤΕΣΤ ΙΣΤΟΡΙΑ Δ΄ 5-9.docx
Maria Koufopoulou
 
DOC
επαναληπτικο πεπτικο συστημα
Nansy Tzg
 
PDF
Φυσική Ε΄ - Επαναληπτικό 2ης Ενότητας: ΄΄Μίγματα΄΄
Χρήστος Χαρμπής
 
PPTX
Εισαγωγή στην Πληροφορική - 1. Τι είναι η Πληροφορική
Marina Gavrilaki
 
Επαναληπτικό Ενότητας 11 Φυσική Στ
geoskot2
 
ΑΝΑΛΥΣΗ ΔΕΚΑΔΙΚΩΝ ΚΛΑΣΜΑΤΩΝ ΠΑΡΟΥΣΙΑΣΗ 33.pdf
Maria Koufopoulou
 
Λογισμικό
MariaProGr
 
ΚΕΦΑΛΑΙΟ 3 - ΕΡΓΟΝΟΜΙΑ
Zisis Lazakis
 
ΤΕΣΤ ΙΣΤΟΡΙΑ Δ΄ 5-9.docx
Maria Koufopoulou
 
επαναληπτικο πεπτικο συστημα
Nansy Tzg
 
Φυσική Ε΄ - Επαναληπτικό 2ης Ενότητας: ΄΄Μίγματα΄΄
Χρήστος Χαρμπής
 
Εισαγωγή στην Πληροφορική - 1. Τι είναι η Πληροφορική
Marina Gavrilaki
 

La actualidad más candente (20)

DOC
Διαγωνίσματα Α τριμήνου Β' Γυμνασίου
Fotini Pog
 
PPT
ανάλογα ποσά
Γιάννης Φερεντίνος
 
PDF
Τεχνολογία
Vasso Servou
 
DOC
Διαδραστική παρέμβαση-Ισοδύναμα κλάσματα
Σπύρος Κυριαζίδης
 
PDF
3.Ο φίλος μας ο άνεμος.pdf
Dimitra Mylonaki
 
PPT
A 3 ΕΡΓΟΝΟΜΙΑ
ionvam
 
PDF
Επαναληπτικές Ασκήσεις Ιστορίας Γ΄- 4η Ενότητα: Η Αργοναυτική Εκστρατεία
Ηλιάδης Ηλίας
 
PDF
Ιστορία Δ΄ 4. 40. ΄΄Η υποταγή του ελληνικού κόσμου΄΄
Χρήστος Χαρμπής
 
PPT
πληροφορική_α_γυμνασίου.ppt
Akis Karavetsios
 
PDF
Κεφάλαιο 5: Γνωριμία με το Λογισμικό του Υπολογιστή
Omada Sarantaeksi
 
PPTX
Γνωριμία με το Διαδίκτυο
Dinos Gekas
 
PDF
Γεωγραφία Ε΄. 2. 9. ΄΄ Μεγάλα συμπλέγματα και νησιά της Ελλάδας΄΄
Χρήστος Χαρμπής
 
DOC
επιθετο πολυσ
Nansy Tzg
 
ODP
Tο υλικό του υπολογιστή
tsmalyfb
 
PPT
Εξάτμιση
Αστραδενή
 
DOC
μέσος όρος
Nansy Tzg
 
PDF
Ιστορία Γ΄. Επανάληψη 8ης ενότητας:΄΄Η εποχή του χαλκού στην Ελλάδα Α. Ο κυκλ...
Χρήστος Χαρμπής
 
DOC
Eπαναληπτικό στην Ιστορία ΣΤ΄ - Κεφάλαια 7 - 10
zarkosdim
 
PPTX
Technologia2 a tech_epistimi
Ioannis Padiotis
 
PDF
Φυσικά ΣΤ΄. 10. 4. ΄΄ Το μάτι μας΄΄
Χρήστος Χαρμπής
 
Διαγωνίσματα Α τριμήνου Β' Γυμνασίου
Fotini Pog
 
ανάλογα ποσά
Γιάννης Φερεντίνος
 
Τεχνολογία
Vasso Servou
 
Διαδραστική παρέμβαση-Ισοδύναμα κλάσματα
Σπύρος Κυριαζίδης
 
3.Ο φίλος μας ο άνεμος.pdf
Dimitra Mylonaki
 
A 3 ΕΡΓΟΝΟΜΙΑ
ionvam
 
Επαναληπτικές Ασκήσεις Ιστορίας Γ΄- 4η Ενότητα: Η Αργοναυτική Εκστρατεία
Ηλιάδης Ηλίας
 
Ιστορία Δ΄ 4. 40. ΄΄Η υποταγή του ελληνικού κόσμου΄΄
Χρήστος Χαρμπής
 
πληροφορική_α_γυμνασίου.ppt
Akis Karavetsios
 
Κεφάλαιο 5: Γνωριμία με το Λογισμικό του Υπολογιστή
Omada Sarantaeksi
 
Γνωριμία με το Διαδίκτυο
Dinos Gekas
 
Γεωγραφία Ε΄. 2. 9. ΄΄ Μεγάλα συμπλέγματα και νησιά της Ελλάδας΄΄
Χρήστος Χαρμπής
 
επιθετο πολυσ
Nansy Tzg
 
Tο υλικό του υπολογιστή
tsmalyfb
 
Εξάτμιση
Αστραδενή
 
μέσος όρος
Nansy Tzg
 
Ιστορία Γ΄. Επανάληψη 8ης ενότητας:΄΄Η εποχή του χαλκού στην Ελλάδα Α. Ο κυκλ...
Χρήστος Χαρμπής
 
Eπαναληπτικό στην Ιστορία ΣΤ΄ - Κεφάλαια 7 - 10
zarkosdim
 
Technologia2 a tech_epistimi
Ioannis Padiotis
 
Φυσικά ΣΤ΄. 10. 4. ΄΄ Το μάτι μας΄΄
Χρήστος Χαρμπής
 

Similar a Microsoft Threat Modeling Tool (20)

PPTX
Dilema de seguridad actual
Jaime Restrepo
 
PDF
sophos-navigating-the-ai-hype-in-cybersecurity-wpes.pdf
RoyAdigMenachoCesped
 
PDF
Ciberseguridad - IBM
PMI Capítulo México
 
PDF
Evolution Zero Trust Ciberseguridad de Microsoft Arquitecturas de referencia.pdf
polarisaldebarran
 
PPT
Development of Secure Applications
Roger CARHUATOCTO
 
DOCX
Desarrollo de software
Miguel Ángel Cortés
 
PDF
Modelos de desarrollo seguro de software
Facultad de Informática UCM
 
PPTX
fundamentos teoricos ingenieria de softwaare
Luz
 
DOCX
Guia para desarrollo de software seguro
Jesus Manuel Gilbert Castro
 
PPT
El producto y el proceso
jenmer
 
PPT
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Gabriel Marcos
 
PDF
ActivosTI presentación empresarial 2020
ActivosTI
 
PDF
Niebla sortillon jesus francisco actividad1.1 si5 1
Jesus Francisco Niebla Sortillón
 
DOCX
Trabajo
royholguin1990
 
PDF
Calidad y Seguridad en Procesos de Desarrollo de Software
Conferencias FIST
 
PDF
Implementando owasp samm en latam
Mateo Martinez
 
PPTX
Aplicaciones seguras
Universidad Cenfotec
 
PPTX
Desarrollo de Software Una Visión General de todo
61116271
 
PDF
Devsecops superstar un movimiento masivo
Luciano Moreira da Cruz
 
PDF
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Enrique Gustavo Dutra
 
Dilema de seguridad actual
Jaime Restrepo
 
sophos-navigating-the-ai-hype-in-cybersecurity-wpes.pdf
RoyAdigMenachoCesped
 
Ciberseguridad - IBM
PMI Capítulo México
 
Evolution Zero Trust Ciberseguridad de Microsoft Arquitecturas de referencia.pdf
polarisaldebarran
 
Development of Secure Applications
Roger CARHUATOCTO
 
Desarrollo de software
Miguel Ángel Cortés
 
Modelos de desarrollo seguro de software
Facultad de Informática UCM
 
fundamentos teoricos ingenieria de softwaare
Luz
 
Guia para desarrollo de software seguro
Jesus Manuel Gilbert Castro
 
El producto y el proceso
jenmer
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Gabriel Marcos
 
ActivosTI presentación empresarial 2020
ActivosTI
 
Niebla sortillon jesus francisco actividad1.1 si5 1
Jesus Francisco Niebla Sortillón
 
Trabajo
royholguin1990
 
Calidad y Seguridad en Procesos de Desarrollo de Software
Conferencias FIST
 
Implementando owasp samm en latam
Mateo Martinez
 
Aplicaciones seguras
Universidad Cenfotec
 
Desarrollo de Software Una Visión General de todo
61116271
 
Devsecops superstar un movimiento masivo
Luciano Moreira da Cruz
 
Capacitacion sobre Desarrollo Seguro - SDL / OWASP 2013
Enrique Gustavo Dutra
 

Más de Peter Concha (20)

PDF
Buenas prácticas de desarrollo seguro basados en owasp 20211206
Peter Concha
 
PPTX
Visual Studio Team Service.- Un viaje a dev ops
Peter Concha
 
PDF
Microsoft Power BI.- Una Herramienta para BI
Peter Concha
 
PPTX
Xamarin.- Apps conectadas con azure
Peter Concha
 
PDF
Invitación BarCamp 2015
Peter Concha
 
PDF
Carta Agradecimiento Microsoft por EXPO USE
Peter Concha
 
PDF
Credencial 2011 - 2012
Peter Concha
 
PDF
es_ERL2016
Peter Concha
 
PDF
ERL2015
Peter Concha
 
PDF
ERL2014
Peter Concha
 
PPTX
Azure Site Recovery.- Plan contra desastre
Peter Concha
 
PPTX
Comunidades Técnicas.- Tips y Experiencias
Peter Concha
 
PPTX
Conversatorio MVP: Carrera, Código y Tecnología
Peter Concha
 
PPTX
Microsoft Azure: Desarrollando en la Nube con PHP y Control de Código Fuente ...
Peter Concha
 
PDF
2015 allsponsor
Peter Concha
 
PDF
Desarrollo de Aplicaciones PHP con Microsoft Azure
Peter Concha
 
PDF
Intro a HTML5 Apps con Windows 8.1
Peter Concha
 
PDF
Desarrollo Interoperable con WebMatrix y Modern.ie
Peter Concha
 
PDF
Desarrollo de aplicaciones PHP con Azure
Peter Concha
 
PPTX
Programas Académicos y StartUps Con Microsoft
Peter Concha
 
Buenas prácticas de desarrollo seguro basados en owasp 20211206
Peter Concha
 
Visual Studio Team Service.- Un viaje a dev ops
Peter Concha
 
Microsoft Power BI.- Una Herramienta para BI
Peter Concha
 
Xamarin.- Apps conectadas con azure
Peter Concha
 
Invitación BarCamp 2015
Peter Concha
 
Carta Agradecimiento Microsoft por EXPO USE
Peter Concha
 
Credencial 2011 - 2012
Peter Concha
 
es_ERL2016
Peter Concha
 
ERL2015
Peter Concha
 
ERL2014
Peter Concha
 
Azure Site Recovery.- Plan contra desastre
Peter Concha
 
Comunidades Técnicas.- Tips y Experiencias
Peter Concha
 
Conversatorio MVP: Carrera, Código y Tecnología
Peter Concha
 
Microsoft Azure: Desarrollando en la Nube con PHP y Control de Código Fuente ...
Peter Concha
 
2015 allsponsor
Peter Concha
 
Desarrollo de Aplicaciones PHP con Microsoft Azure
Peter Concha
 
Intro a HTML5 Apps con Windows 8.1
Peter Concha
 
Desarrollo Interoperable con WebMatrix y Modern.ie
Peter Concha
 
Desarrollo de aplicaciones PHP con Azure
Peter Concha
 
Programas Académicos y StartUps Con Microsoft
Peter Concha
 

Último (20)

PPTX
Sistema de Gestión Integral TCA Ingenieros.pptx
DiegoChamorro42
 
PPTX
Control de calidad en productos de frutas
ayselgonzales27
 
PPTX
Tema 1 Taller de tecnologia y proceso tecnologico.pptx
Justino Cat
 
PPTX
Formato de texto, párrafo, documentos, columnas periodísticas, referencias.
victormontalvo19
 
PDF
Distribucion de frecuencia exel (1).pdf
samuelcuaran
 
DOCX
TRABAJO GRUPAL (5) (1).docxjsjsjskskksksk
edeplucasmolina
 
PDF
ADMINISTRACIÓN DE ARCHIVOS - TICS (SENA).pdf
whomarxxdemie
 
PPTX
ccna: redes de nat ipv4 stharlling cande
StharllingCandelario
 
PPTX
la-historia-de-la-medicina Edna Silva.pptx
adairrojas2
 
PPT
Protocolos de seguridad y mecanismos encriptación
rveiga100
 
DOCX
Trabajo informatica joel torres 10-.....................
santinet611
 
PDF
0007_PPT_DefinicionesDeDataMining_201_v1-0.pdf
ssuserfa7846
 
PDF
NREN - red nacional de investigacion y educacion en LATAM y Europa: Caracteri...
Universidad Nacional de Ingenieria
 
PDF
CONTABILIDAD Y TRIBUTACION, EJERCICIO PRACTICO
Pabloisra21Pepe
 
PPTX
Presentacion de Alba Curso Auditores Internos ISO 19011
AlexandroDeAlbaGuerr
 
DOCX
TRABAJO GRUPAL (5) (1).docxsjjsjsksksksksk
edeplucasmolina
 
PPTX
Reconocimiento-Automatico-de-Placas-Vehiculares-con-IA.pptx
BrianLadino1
 
PDF
Estrategia de apoyo valentina lopez/ 10-3
edepvalentinalopezca
 
PPTX
Curso de generación de energía mediante sistemas solares
ICEZonaNortePNLG
 
PDF
capacitación de aire acondicionado Bgh r 410
MiriamVargas760642
 
Sistema de Gestión Integral TCA Ingenieros.pptx
DiegoChamorro42
 
Control de calidad en productos de frutas
ayselgonzales27
 
Tema 1 Taller de tecnologia y proceso tecnologico.pptx
Justino Cat
 
Formato de texto, párrafo, documentos, columnas periodísticas, referencias.
victormontalvo19
 
Distribucion de frecuencia exel (1).pdf
samuelcuaran
 
TRABAJO GRUPAL (5) (1).docxjsjsjskskksksk
edeplucasmolina
 
ADMINISTRACIÓN DE ARCHIVOS - TICS (SENA).pdf
whomarxxdemie
 
ccna: redes de nat ipv4 stharlling cande
StharllingCandelario
 
la-historia-de-la-medicina Edna Silva.pptx
adairrojas2
 
Protocolos de seguridad y mecanismos encriptación
rveiga100
 
Trabajo informatica joel torres 10-.....................
santinet611
 
0007_PPT_DefinicionesDeDataMining_201_v1-0.pdf
ssuserfa7846
 
NREN - red nacional de investigacion y educacion en LATAM y Europa: Caracteri...
Universidad Nacional de Ingenieria
 
CONTABILIDAD Y TRIBUTACION, EJERCICIO PRACTICO
Pabloisra21Pepe
 
Presentacion de Alba Curso Auditores Internos ISO 19011
AlexandroDeAlbaGuerr
 
TRABAJO GRUPAL (5) (1).docxsjjsjsksksksksk
edeplucasmolina
 
Reconocimiento-Automatico-de-Placas-Vehiculares-con-IA.pptx
BrianLadino1
 
Estrategia de apoyo valentina lopez/ 10-3
edepvalentinalopezca
 
Curso de generación de energía mediante sistemas solares
ICEZonaNortePNLG
 
capacitación de aire acondicionado Bgh r 410
MiriamVargas760642
 

Microsoft Threat Modeling Tool

  • 1. Microsoft Threat Modeling Tool Peter Concha Regatto Líder de Comunidad
  • 3. AVANET NACIÓ DE UN SUEÑO LLAMADO ALTRUISMO DIGITAL…
  • 4. DURANTE 11 AÑOS HA TRABAJO PARA LA COMUNIDAD…
  • 5. Contagiando gente a lo lejos…
  • 8. AGENDA • Introducción a SDL • Introducción al Modelado de Amenazas • Demostración • Referencias • Preguntas
  • 10. Qué es SDL? • El Microsoft SDL es el Ciclo de Vida del Desarrollo Seguro. • Introduce consideraciones de seguridad y privacidad en todas las fases del proceso de desarrollo. • Ayudar a los desarrolladores a desarrollar software altamente seguro, abordando los requisitos de cumplimiento de seguridad y reducir los costos de desarrollo. • La orientación, las mejores prácticas, las herramientas y los procesos en el SDL de Microsoft son prácticas que utilizan internamente para crear sus productos y servicios más seguros. Desde que se compartió por primera vez en 2008, han actualizado las prácticas como resultado de su creciente experiencia con nuevos escenarios, como la nube, Internet de las cosas (IoT) e inteligencia artificial (IA). https://www.microsoft.com/en-us/securityengineering/sdl/
  • 11. Mi equipo no modela amenazas, debo preocuparme?
  • 12. Por qué debo aplicar SDL? • Cumplimiento regulatorio de manejo de información (Privacidad de Información). • Aumento de confianza y credibilidad de sus clientes. • Reducción de esfuerzo y costos en desarrollo. https://www.microsoft.com/en-us/securityengineering/sdl/
  • 13. Cuándo debo usar SDL? • Arquitecturas empresariales, negocio o organización. • Arquitecturas que manejen información de identificación personal (PII). • Arquitecturas expuestas en internet u otras redes. • Aplicaciones que procesen datos de fuentes no autenticadas. • Funcionalidades que procesen archivos que no están protegidos. https://www.microsoft.com/en-us/securityengineering/sdl/
  • 15. Por dónde empiezo? Identificando Conociendo el nivel de madurez posee mi organización. Auto evaluando Revisar la guía para evaluar el nivel de madurez. Implementando Usar la guía de recursos para crear un plan de implementación para el avance de la Madurez https://www.microsoft.com/en-us/securityengineering/sdl/
  • 17. Modelado de Amenazas • Es un elemento central del Ciclo de vida de desarrollo seguro de Microsoft (SDL). Es una técnica de ingeniería que puede usar para ayudarlo a identificar amenazas, ataques, vulnerabilidades y contramedidas que podrían afectar su arquitectura. Puede utilizar el modelado de amenazas para dar forma al diseño de su arquitectura, cumplir con los objetivos de seguridad de su empresa y reducir el riesgo. https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling
  • 18. Objetivos • Definir los requisitos de seguridad. • Crear un diagrama de arquitectura. • Identificar amenazas. • Mitigar Amenazas. • Validar que las amenazas han sido mitigadas. https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling
  • 19. Beneficios • No requiere ser experto en seguridad. • Poseer una herramienta de comunicación sobre el diseño de seguridad de sus sistemas. • Tendrá la capacidad de analizar esos diseños, para detectar posibles problemas de seguridad utilizando una metodología probada. • Podrás sugerir y gestionar mitigaciones por problemas de seguridad. https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling
  • 20. STRIDE (Amenaza) y DREAD (Riesgo) https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling Amenaza Propiedad Deseada Spoofing Autenticidad Tampering Integridad Repudiation No Repudiable Information disclosure Confidencialidad Denial of Service Disponibilidad Elevation of Privilege Autorización
  • 22. Referencias • Microsoft Threat Modeling Tool • Guía de Microsoft SDL • Prácticas SDL • Más Recursos y Herramientas • OWASP Zed Attack Proxy(ZAP) • Mitigaciones Microsoft SDL