威脅建模是指識別并評估如何管理應(yīng)用系統(tǒng)中安全弱點的過程,可以幫助企業(yè)更快速地發(fā)現(xiàn)信息化系統(tǒng)應(yīng)用過程中的安全隱患,更清楚地了解安全建設(shè)需求,從而更有效地建立安全防御體系。在實際應(yīng)用中,威脅建模的主要類型包括:
以資產(chǎn)為中心的威脅模型,側(cè)重于監(jiān)測系統(tǒng)的不同部分或資產(chǎn),然后分析資產(chǎn)可能面臨的各種潛在攻擊途徑;以攻擊者為中心的威脅模型,讓組織可以洞察威脅/攻擊者的思維模式:他們在找什么?他們?nèi)绾卧谙到y(tǒng)中找到信息并利用它?然后組織把這些想法與可能有關(guān)的攻擊面聯(lián)系起來;以軟件為中心的威脅模型,使用設(shè)計和圖表來直觀呈現(xiàn)威脅和攻擊面。這是主流的威脅建模方法,可以更全面、更清晰地洞察漏洞。對于很多企業(yè)組織而言,傳統(tǒng)的人工威脅建模方法可能非常有效,但在當(dāng)前的數(shù)字化和威脅環(huán)境中,它們不僅耗時低效,而且缺乏擴(kuò)展性,這會在很大程度上阻礙企業(yè)數(shù)字化轉(zhuǎn)型目標(biāo)的實現(xiàn)。因此,企業(yè)需要考慮新一代的威脅建模方法,優(yōu)先使用自動化工具和大量已有的威脅信息來評估企業(yè)安全風(fēng)險,并以可重復(fù)的方式實時進(jìn)行威脅建模操作,從而持續(xù)監(jiān)控組織的安全狀況。本文收集整理了目前最受企業(yè)用戶歡迎的十款自動化威脅建模工具,并對其主要特點進(jìn)行了分析。
(資料圖片僅供參考)
01CAIRISCAIRIS是一個綜合的開源威脅建模工具,于2012年推出。
?系統(tǒng):這款基于Web的工具可以在多種系統(tǒng)環(huán)境下運(yùn)行,包括Ubuntu、Mac、Windows和Linux,它還可以用作Docker容器。
?特點:CAIRIS可創(chuàng)建詳細(xì)描述潛在威脅分子的攻擊者角色,最多可提供12個系統(tǒng)視圖以全面呈現(xiàn)組織的安全風(fēng)險和架構(gòu)。工具可有效識別攻擊模式,并提供應(yīng)對攻擊的建議。
?性能:運(yùn)行高效,不過有用戶反映系統(tǒng)在信息輸入時緩慢。
?價格:免費使用。
傳送門:https://cairis.org/
02Cisco Vulnerability ManagementCisco Vulnerability Management(前身是Kenna.VM)使用了廣泛的度量指標(biāo)來評估應(yīng)用程序的風(fēng)險狀態(tài)。
?系統(tǒng):該SaaS化威脅建模工具有兩種版本:Advantage和Premier。
?特點:可檢查數(shù)據(jù)以生成實時威脅情報,并從風(fēng)險視角給用戶操作建議。
?性能:使用專有算法進(jìn)行計算,可從超過19個威脅情報源收集數(shù)據(jù),有嚴(yán)格的數(shù)據(jù)輸入要求,提供多種報告。
?定價:基于用戶實際使用量訂閱購買,可以免費試用。
傳送門:https://www.cisco.com/site/us/en/products/security/vulnerability-management/index.html
03IriusRiskIriusRisk是一款可以在軟件系統(tǒng)設(shè)計階段開展風(fēng)險分析,并創(chuàng)建軟件應(yīng)用程序威脅模型的自動化建模工具。
?系統(tǒng):提供SaaS部署和本地部署模式,可以支持主流的系統(tǒng)環(huán)境。
?特點:可自動化生成數(shù)據(jù)收集問卷,并使用與Jira和Azure DevOps Services等工具關(guān)聯(lián)的規(guī)則引擎生成威脅列表。此外,該工具可以與微軟威脅建模工具進(jìn)行數(shù)據(jù)共享。
?性能:操作較簡單,使用方便,并通過電子郵件和故障單系統(tǒng)提供支持。
?定價:社區(qū)版免費,同時提供基于許可證的企業(yè)版。
傳送門:https://www.iriusrisk.com/
04微軟威脅建模工具微軟威脅建模工具是一款基于STRIDE(欺詐、篡改、拒絕、信息披露、拒絕服務(wù)和提升特權(quán))方法構(gòu)建的開源版軟件。
?系統(tǒng):可在Windows系列操作系統(tǒng)環(huán)境下安裝使用。
?特點:使用DFD創(chuàng)建威脅模型,支持在Windows和微軟Azure云服務(wù)下運(yùn)行的系統(tǒng),可根據(jù)用戶需要生成定制化威脅分析報告。
?性能:可為企業(yè)啟動威脅建模項目提供高性價比方案,并通過微軟官網(wǎng)、各種用戶論壇提供服務(wù)支持。
?價格:免費。
傳送門:https://learn.microsoft.com/en-us/azure/security/develop/threat-modeling-tool
05OWASPThreat DragonThreat Dragon由OWASP于2016年開發(fā),是一款非常受歡迎的開源、跨平臺威脅建模工具。
?系統(tǒng):基于Web的SaaS化服務(wù)提供
?特點:可自定義規(guī)則引擎中的DFD,為用戶全面提供威脅列表、建議及其他報告。工具支持STRIDE模型和LINDDUN(關(guān)聯(lián)、識別、不可否認(rèn)、檢測、數(shù)據(jù)披露、不知情、不合規(guī))模型。
?性能:易于使用,功能豐富,擁有較活躍的用戶社區(qū)。
?價格:免費。
傳送門:https://owasp.org/www-project-threat-dragon/
06SDElementsSecurityCompass公司推出的SD Elements工具擁有多種威脅建模功能和資源,便于將威脅分析策略順利地轉(zhuǎn)換成自動化的檢測流程。
?系統(tǒng):提供SaaS部署或本地部署,支持主流的操作系統(tǒng)環(huán)境。
?特點:使用調(diào)查收集數(shù)據(jù)并識別漏洞和應(yīng)對措施;擁有廣泛的報告和測試功能。
?性能:便于非專業(yè)人士上手使用,可通過官網(wǎng)為項目的所有階段(從安裝到培訓(xùn)和管理)提供支持。
?定價:簡易版免費,專業(yè)版和企業(yè)版收費
傳送門:https://www.securitycompass.com/sdelements/
07SplunkEnterprise Security/EssentialsSplunk Enterprise Security使用多種工具和資源(包括人工智能和機(jī)器學(xué)習(xí)),為企業(yè)的數(shù)字化系統(tǒng)架構(gòu)提供基于風(fēng)險的評估。它可以從企業(yè)應(yīng)用的各種維度收集性能數(shù)據(jù),并進(jìn)行全面分析,快速識別和呈現(xiàn)潛在的威脅和漏洞。在此基礎(chǔ)上,Splunk公司還推出了免費版工具 Security Essentials,為初級使用者提供有限的報告和建模功能。
?系統(tǒng):Splunk Enterprise Security提供SaaS或本地選項,免費版Security Essentials需要從Splunkbase下載。
?特點:工具可以提供持續(xù)的安全監(jiān)控、基于風(fēng)險的警報、惡意軟件檢測和原因分析。該工具還可以有效映射到殺傷鏈(Kill Chain)和Mitre ATT&CK框架。
?性能:具有易于使用的管理界面,并提供多個學(xué)習(xí)和支持服務(wù),包括Splunk大學(xué)、視頻和現(xiàn)場培訓(xùn)。
?定價:Splunk Enterprise Security需付費訂閱,Splunk Security Essentials 免費。
傳送門:https://www.splunk.com/en_us/products/enterprise-security.html和https://splunkbase.splunk.com/app/3435
08ThreagileThreagile是一款基于代碼的開源威脅建模工具包,適用于敏捷開發(fā)環(huán)境。
?系統(tǒng):以敏捷方式評估資產(chǎn),使用YAML文件作為輸入,對威脅環(huán)境進(jìn)行建模。
?特點:生成采用DFD和詳細(xì)報告形式的威脅模型。
?性能:使用高效,幫助用戶簡化威脅建模,并創(chuàng)建了活躍用戶社區(qū)。
?價格:免費。
傳送門:https://threagile.io/
09ThreatModelerThreatModeler是面向DevOps的自動化威脅建模工具,它有三個版本:社區(qū)版、應(yīng)用程序安全版和云版。
?系統(tǒng):基于Web的服務(wù)提供,主要為技術(shù)基礎(chǔ)架構(gòu)復(fù)雜的大型企業(yè)用戶設(shè)計。
?特點:基于VAST(可視化、敏捷和簡單威脅)模型,提供智能威脅引擎、報告引擎和集成式工作流審批,同時可直接與Jira和Jenkins關(guān)聯(lián)。
?性能:功能完善,易于操作使用,并通過ThreatModeler提供各種支持選項。
?定價:社區(qū)版免費,完全版和云版按許可證收費。
傳送門:https://threatmodeler.com/
10TutamenThreat Model AutomatorTutamen Threat Model Automator是由Tutamantic公司開發(fā)的自動化威脅建模工具,支持軟件架構(gòu)和開發(fā)階段的安全分析與監(jiān)測。該公司目前仍在進(jìn)一步完善該工具。
?系統(tǒng):基于云的服務(wù)提供
?特點:可以接受現(xiàn)有主要應(yīng)用程序(包括Visio和Excel)的信息輸入模式,并提供各種威脅分析報告,便于靈活使用。
?性能:處于測試版階段。
?支持:提供Tutamantic技術(shù)支持。
?定價:試用版免費。
傳送門:https://www.tutamantic.com/
參考鏈接:https://www.techtarget.com/searchsecurity/tip/Top-threat-modeling-tools-plus-features-to-look-for
關(guān)鍵詞:
新聞發(fā)布平臺 |科極網(wǎng) |環(huán)球周刊網(wǎng) |中國創(chuàng)投網(wǎng) |教體產(chǎn)業(yè)網(wǎng) |中國商界網(wǎng) |萬能百科 |薄荷網(wǎng) |資訊_時尚網(wǎng) |連州財經(jīng)網(wǎng) |劇情啦 |5元服裝包郵 |中華網(wǎng)河南 |網(wǎng)購省錢平臺 |海淘返利 |太平洋裝修網(wǎng) |勵普網(wǎng)校 |九十三度白茶網(wǎng) |商標(biāo)注冊 |專利申請 |啟哈號 |速挖投訴平臺 |深度財經(jīng)網(wǎng) |深圳熱線 |財報網(wǎng) |財報網(wǎng) |財報網(wǎng) |咕嚕財經(jīng) |太原熱線 |電路維修 |防水補(bǔ)漏 |水管維修 |墻面翻修 |舊房維修 |參考經(jīng)濟(jì)網(wǎng) |中原網(wǎng)視臺 |財經(jīng)產(chǎn)業(yè)網(wǎng) |全球經(jīng)濟(jì)網(wǎng) |消費導(dǎo)報網(wǎng) |外貿(mào)網(wǎng) |重播網(wǎng) |國際財經(jīng)網(wǎng) |星島中文網(wǎng) |手機(jī)測評 |品牌推廣 |名律網(wǎng) |項目大全 |整形資訊 |整形新聞 |美麗網(wǎng) |佳人網(wǎng) |稅法網(wǎng) |法務(wù)網(wǎng) |法律服務(wù) |法律咨詢 |成報網(wǎng) |媒體采購網(wǎng) |聚焦網(wǎng) |參考網(wǎng) |熱點網(wǎng)
亞洲資本網(wǎng) 版權(quán)所有
Copyright © 2011-2020 亞洲資本網(wǎng) All Rights Reserved. 聯(lián)系網(wǎng)站:55 16 53 8 @qq.com