威脅建模是指識(shí)別并評(píng)估如何管理應(yīng)用系統(tǒng)中安全弱點(diǎn)的過(guò)程,可以幫助企業(yè)更快速地發(fā)現(xiàn)信息化系統(tǒng)應(yīng)用過(guò)程中的安全隱患,更清楚地了解安全建設(shè)需求,從而更有效地建立安全防御體系。在實(shí)際應(yīng)用中,威脅建模的主要類(lèi)型包括:
以資產(chǎn)為中心的威脅模型,側(cè)重于監(jiān)測(cè)系統(tǒng)的不同部分或資產(chǎn),然后分析資產(chǎn)可能面臨的各種潛在攻擊途徑;以攻擊者為中心的威脅模型,讓組織可以洞察威脅/攻擊者的思維模式:他們?cè)谡沂裁矗克麄內(nèi)绾卧谙到y(tǒng)中找到信息并利用它?然后組織把這些想法與可能有關(guān)的攻擊面聯(lián)系起來(lái);以軟件為中心的威脅模型,使用設(shè)計(jì)和圖表來(lái)直觀呈現(xiàn)威脅和攻擊面。這是主流的威脅建模方法,可以更全面、更清晰地洞察漏洞。對(duì)于很多企業(yè)組織而言,傳統(tǒng)的人工威脅建模方法可能非常有效,但在當(dāng)前的數(shù)字化和威脅環(huán)境中,它們不僅耗時(shí)低效,而且缺乏擴(kuò)展性,這會(huì)在很大程度上阻礙企業(yè)數(shù)字化轉(zhuǎn)型目標(biāo)的實(shí)現(xiàn)。因此,企業(yè)需要考慮新一代的威脅建模方法,優(yōu)先使用自動(dòng)化工具和大量已有的威脅信息來(lái)評(píng)估企業(yè)安全風(fēng)險(xiǎn),并以可重復(fù)的方式實(shí)時(shí)進(jìn)行威脅建模操作,從而持續(xù)監(jiān)控組織的安全狀況。本文收集整理了目前最受企業(yè)用戶(hù)歡迎的十款自動(dòng)化威脅建模工具,并對(duì)其主要特點(diǎn)進(jìn)行了分析。
(相關(guān)資料圖)
01CAIRISCAIRIS是一個(gè)綜合的開(kāi)源威脅建模工具,于2012年推出。
?系統(tǒng):這款基于Web的工具可以在多種系統(tǒng)環(huán)境下運(yùn)行,包括Ubuntu、Mac、Windows和Linux,它還可以用作Docker容器。
?特點(diǎn):CAIRIS可創(chuàng)建詳細(xì)描述潛在威脅分子的攻擊者角色,最多可提供12個(gè)系統(tǒng)視圖以全面呈現(xiàn)組織的安全風(fēng)險(xiǎn)和架構(gòu)。工具可有效識(shí)別攻擊模式,并提供應(yīng)對(duì)攻擊的建議。
?性能:運(yùn)行高效,不過(guò)有用戶(hù)反映系統(tǒng)在信息輸入時(shí)緩慢。
?價(jià)格:免費(fèi)使用。
傳送門(mén):https://cairis.org/
02Cisco Vulnerability ManagementCisco Vulnerability Management(前身是Kenna.VM)使用了廣泛的度量指標(biāo)來(lái)評(píng)估應(yīng)用程序的風(fēng)險(xiǎn)狀態(tài)。
?系統(tǒng):該SaaS化威脅建模工具有兩種版本:Advantage和Premier。
?特點(diǎn):可檢查數(shù)據(jù)以生成實(shí)時(shí)威脅情報(bào),并從風(fēng)險(xiǎn)視角給用戶(hù)操作建議。
?性能:使用專(zhuān)有算法進(jìn)行計(jì)算,可從超過(guò)19個(gè)威脅情報(bào)源收集數(shù)據(jù),有嚴(yán)格的數(shù)據(jù)輸入要求,提供多種報(bào)告。
?定價(jià):基于用戶(hù)實(shí)際使用量訂閱購(gòu)買(mǎi),可以免費(fèi)試用。
傳送門(mén):https://www.cisco.com/site/us/en/products/security/vulnerability-management/index.html
03IriusRiskIriusRisk是一款可以在軟件系統(tǒng)設(shè)計(jì)階段開(kāi)展風(fēng)險(xiǎn)分析,并創(chuàng)建軟件應(yīng)用程序威脅模型的自動(dòng)化建模工具。
?系統(tǒng):提供SaaS部署和本地部署模式,可以支持主流的系統(tǒng)環(huán)境。
?特點(diǎn):可自動(dòng)化生成數(shù)據(jù)收集問(wèn)卷,并使用與Jira和Azure DevOps Services等工具關(guān)聯(lián)的規(guī)則引擎生成威脅列表。此外,該工具可以與微軟威脅建模工具進(jìn)行數(shù)據(jù)共享。
?性能:操作較簡(jiǎn)單,使用方便,并通過(guò)電子郵件和故障單系統(tǒng)提供支持。
?定價(jià):社區(qū)版免費(fèi),同時(shí)提供基于許可證的企業(yè)版。
傳送門(mén):https://www.iriusrisk.com/
04微軟威脅建模工具微軟威脅建模工具是一款基于STRIDE(欺詐、篡改、拒絕、信息披露、拒絕服務(wù)和提升特權(quán))方法構(gòu)建的開(kāi)源版軟件。
?系統(tǒng):可在Windows系列操作系統(tǒng)環(huán)境下安裝使用。
?特點(diǎn):使用DFD創(chuàng)建威脅模型,支持在Windows和微軟Azure云服務(wù)下運(yùn)行的系統(tǒng),可根據(jù)用戶(hù)需要生成定制化威脅分析報(bào)告。
?性能:可為企業(yè)啟動(dòng)威脅建模項(xiàng)目提供高性?xún)r(jià)比方案,并通過(guò)微軟官網(wǎng)、各種用戶(hù)論壇提供服務(wù)支持。
?價(jià)格:免費(fèi)。
傳送門(mén):https://learn.microsoft.com/en-us/azure/security/develop/threat-modeling-tool
05OWASPThreat DragonThreat Dragon由OWASP于2016年開(kāi)發(fā),是一款非常受歡迎的開(kāi)源、跨平臺(tái)威脅建模工具。
?系統(tǒng):基于Web的SaaS化服務(wù)提供
?特點(diǎn):可自定義規(guī)則引擎中的DFD,為用戶(hù)全面提供威脅列表、建議及其他報(bào)告。工具支持STRIDE模型和LINDDUN(關(guān)聯(lián)、識(shí)別、不可否認(rèn)、檢測(cè)、數(shù)據(jù)披露、不知情、不合規(guī))模型。
?性能:易于使用,功能豐富,擁有較活躍的用戶(hù)社區(qū)。
?價(jià)格:免費(fèi)。
傳送門(mén):https://owasp.org/www-project-threat-dragon/
06SDElementsSecurityCompass公司推出的SD Elements工具擁有多種威脅建模功能和資源,便于將威脅分析策略順利地轉(zhuǎn)換成自動(dòng)化的檢測(cè)流程。
?系統(tǒng):提供SaaS部署或本地部署,支持主流的操作系統(tǒng)環(huán)境。
?特點(diǎn):使用調(diào)查收集數(shù)據(jù)并識(shí)別漏洞和應(yīng)對(duì)措施;擁有廣泛的報(bào)告和測(cè)試功能。
?性能:便于非專(zhuān)業(yè)人士上手使用,可通過(guò)官網(wǎng)為項(xiàng)目的所有階段(從安裝到培訓(xùn)和管理)提供支持。
?定價(jià):簡(jiǎn)易版免費(fèi),專(zhuān)業(yè)版和企業(yè)版收費(fèi)
傳送門(mén):https://www.securitycompass.com/sdelements/
07SplunkEnterprise Security/EssentialsSplunk Enterprise Security使用多種工具和資源(包括人工智能和機(jī)器學(xué)習(xí)),為企業(yè)的數(shù)字化系統(tǒng)架構(gòu)提供基于風(fēng)險(xiǎn)的評(píng)估。它可以從企業(yè)應(yīng)用的各種維度收集性能數(shù)據(jù),并進(jìn)行全面分析,快速識(shí)別和呈現(xiàn)潛在的威脅和漏洞。在此基礎(chǔ)上,Splunk公司還推出了免費(fèi)版工具 Security Essentials,為初級(jí)使用者提供有限的報(bào)告和建模功能。
?系統(tǒng):Splunk Enterprise Security提供SaaS或本地選項(xiàng),免費(fèi)版Security Essentials需要從Splunkbase下載。
?特點(diǎn):工具可以提供持續(xù)的安全監(jiān)控、基于風(fēng)險(xiǎn)的警報(bào)、惡意軟件檢測(cè)和原因分析。該工具還可以有效映射到殺傷鏈(Kill Chain)和Mitre ATT&CK框架。
?性能:具有易于使用的管理界面,并提供多個(gè)學(xué)習(xí)和支持服務(wù),包括Splunk大學(xué)、視頻和現(xiàn)場(chǎng)培訓(xùn)。
?定價(jià):Splunk Enterprise Security需付費(fèi)訂閱,Splunk Security Essentials 免費(fèi)。
傳送門(mén):https://www.splunk.com/en_us/products/enterprise-security.html和https://splunkbase.splunk.com/app/3435
08ThreagileThreagile是一款基于代碼的開(kāi)源威脅建模工具包,適用于敏捷開(kāi)發(fā)環(huán)境。
?系統(tǒng):以敏捷方式評(píng)估資產(chǎn),使用YAML文件作為輸入,對(duì)威脅環(huán)境進(jìn)行建模。
?特點(diǎn):生成采用DFD和詳細(xì)報(bào)告形式的威脅模型。
?性能:使用高效,幫助用戶(hù)簡(jiǎn)化威脅建模,并創(chuàng)建了活躍用戶(hù)社區(qū)。
?價(jià)格:免費(fèi)。
傳送門(mén):https://threagile.io/
09ThreatModelerThreatModeler是面向DevOps的自動(dòng)化威脅建模工具,它有三個(gè)版本:社區(qū)版、應(yīng)用程序安全版和云版。
?系統(tǒng):基于Web的服務(wù)提供,主要為技術(shù)基礎(chǔ)架構(gòu)復(fù)雜的大型企業(yè)用戶(hù)設(shè)計(jì)。
?特點(diǎn):基于VAST(可視化、敏捷和簡(jiǎn)單威脅)模型,提供智能威脅引擎、報(bào)告引擎和集成式工作流審批,同時(shí)可直接與Jira和Jenkins關(guān)聯(lián)。
?性能:功能完善,易于操作使用,并通過(guò)ThreatModeler提供各種支持選項(xiàng)。
?定價(jià):社區(qū)版免費(fèi),完全版和云版按許可證收費(fèi)。
傳送門(mén):https://threatmodeler.com/
10TutamenThreat Model AutomatorTutamen Threat Model Automator是由Tutamantic公司開(kāi)發(fā)的自動(dòng)化威脅建模工具,支持軟件架構(gòu)和開(kāi)發(fā)階段的安全分析與監(jiān)測(cè)。該公司目前仍在進(jìn)一步完善該工具。
?系統(tǒng):基于云的服務(wù)提供
?特點(diǎn):可以接受現(xiàn)有主要應(yīng)用程序(包括Visio和Excel)的信息輸入模式,并提供各種威脅分析報(bào)告,便于靈活使用。
?性能:處于測(cè)試版階段。
?支持:提供Tutamantic技術(shù)支持。
?定價(jià):試用版免費(fèi)。
傳送門(mén):https://www.tutamantic.com/
參考鏈接:https://www.techtarget.com/searchsecurity/tip/Top-threat-modeling-tools-plus-features-to-look-for
標(biāo)簽: