亞洲資本網(wǎng) > 資訊 > 國際 > 正文
今日快訊:可以免費(fèi)試用的十大自動化威脅建模工具
2023-06-26 21:00:43來源: 安全牛

威脅建模是指識別并評估如何管理應(yīng)用系統(tǒng)中安全弱點(diǎn)的過程,可以幫助企業(yè)更快速地發(fā)現(xiàn)信息化系統(tǒng)應(yīng)用過程中的安全隱患,更清楚地了解安全建設(shè)需求,從而更有效地建立安全防御體系。在實(shí)際應(yīng)用中,威脅建模的主要類型包括:

以資產(chǎn)為中心的威脅模型,側(cè)重于監(jiān)測系統(tǒng)的不同部分或資產(chǎn),然后分析資產(chǎn)可能面臨的各種潛在攻擊途徑;以攻擊者為中心的威脅模型,讓組織可以洞察威脅/攻擊者的思維模式:他們在找什么?他們?nèi)绾卧谙到y(tǒng)中找到信息并利用它?然后組織把這些想法與可能有關(guān)的攻擊面聯(lián)系起來;以軟件為中心的威脅模型,使用設(shè)計(jì)和圖表來直觀呈現(xiàn)威脅和攻擊面。這是主流的威脅建模方法,可以更全面、更清晰地洞察漏洞。

對于很多企業(yè)組織而言,傳統(tǒng)的人工威脅建模方法可能非常有效,但在當(dāng)前的數(shù)字化和威脅環(huán)境中,它們不僅耗時(shí)低效,而且缺乏擴(kuò)展性,這會在很大程度上阻礙企業(yè)數(shù)字化轉(zhuǎn)型目標(biāo)的實(shí)現(xiàn)。因此,企業(yè)需要考慮新一代的威脅建模方法,優(yōu)先使用自動化工具和大量已有的威脅信息來評估企業(yè)安全風(fēng)險(xiǎn),并以可重復(fù)的方式實(shí)時(shí)進(jìn)行威脅建模操作,從而持續(xù)監(jiān)控組織的安全狀況。本文收集整理了目前最受企業(yè)用戶歡迎的十款自動化威脅建模工具,并對其主要特點(diǎn)進(jìn)行了分析。


(資料圖片僅供參考)

01CAIRIS

CAIRIS是一個(gè)綜合的開源威脅建模工具,于2012年推出。

?系統(tǒng):這款基于Web的工具可以在多種系統(tǒng)環(huán)境下運(yùn)行,包括Ubuntu、Mac、Windows和Linux,它還可以用作Docker容器。

?特點(diǎn):CAIRIS可創(chuàng)建詳細(xì)描述潛在威脅分子的攻擊者角色,最多可提供12個(gè)系統(tǒng)視圖以全面呈現(xiàn)組織的安全風(fēng)險(xiǎn)和架構(gòu)。工具可有效識別攻擊模式,并提供應(yīng)對攻擊的建議。

?性能:運(yùn)行高效,不過有用戶反映系統(tǒng)在信息輸入時(shí)緩慢。

?價(jià)格:免費(fèi)使用。

傳送門:https://cairis.org/

02Cisco Vulnerability Management

Cisco Vulnerability Management(前身是Kenna.VM)使用了廣泛的度量指標(biāo)來評估應(yīng)用程序的風(fēng)險(xiǎn)狀態(tài)。

?系統(tǒng):該SaaS化威脅建模工具有兩種版本:Advantage和Premier。

?特點(diǎn):可檢查數(shù)據(jù)以生成實(shí)時(shí)威脅情報(bào),并從風(fēng)險(xiǎn)視角給用戶操作建議。

?性能:使用專有算法進(jìn)行計(jì)算,可從超過19個(gè)威脅情報(bào)源收集數(shù)據(jù),有嚴(yán)格的數(shù)據(jù)輸入要求,提供多種報(bào)告。

?定價(jià):基于用戶實(shí)際使用量訂閱購買,可以免費(fèi)試用。

傳送門:https://www.cisco.com/site/us/en/products/security/vulnerability-management/index.html

03IriusRisk

IriusRisk是一款可以在軟件系統(tǒng)設(shè)計(jì)階段開展風(fēng)險(xiǎn)分析,并創(chuàng)建軟件應(yīng)用程序威脅模型的自動化建模工具。

?系統(tǒng):提供SaaS部署和本地部署模式,可以支持主流的系統(tǒng)環(huán)境。

?特點(diǎn):可自動化生成數(shù)據(jù)收集問卷,并使用與Jira和Azure DevOps Services等工具關(guān)聯(lián)的規(guī)則引擎生成威脅列表。此外,該工具可以與微軟威脅建模工具進(jìn)行數(shù)據(jù)共享。

?性能:操作較簡單,使用方便,并通過電子郵件和故障單系統(tǒng)提供支持。

?定價(jià):社區(qū)版免費(fèi),同時(shí)提供基于許可證的企業(yè)版。

傳送門:https://www.iriusrisk.com/

04微軟威脅建模工具

微軟威脅建模工具是一款基于STRIDE(欺詐、篡改、拒絕、信息披露、拒絕服務(wù)和提升特權(quán))方法構(gòu)建的開源版軟件。

?系統(tǒng):可在Windows系列操作系統(tǒng)環(huán)境下安裝使用。

?特點(diǎn):使用DFD創(chuàng)建威脅模型,支持在Windows和微軟Azure云服務(wù)下運(yùn)行的系統(tǒng),可根據(jù)用戶需要生成定制化威脅分析報(bào)告。

?性能:可為企業(yè)啟動威脅建模項(xiàng)目提供高性價(jià)比方案,并通過微軟官網(wǎng)、各種用戶論壇提供服務(wù)支持。

?價(jià)格:免費(fèi)。

傳送門:https://learn.microsoft.com/en-us/azure/security/develop/threat-modeling-tool

05OWASPThreat Dragon

Threat Dragon由OWASP于2016年開發(fā),是一款非常受歡迎的開源、跨平臺威脅建模工具。

?系統(tǒng):基于Web的SaaS化服務(wù)提供

?特點(diǎn):可自定義規(guī)則引擎中的DFD,為用戶全面提供威脅列表、建議及其他報(bào)告。工具支持STRIDE模型和LINDDUN(關(guān)聯(lián)、識別、不可否認(rèn)、檢測、數(shù)據(jù)披露、不知情、不合規(guī))模型。

?性能:易于使用,功能豐富,擁有較活躍的用戶社區(qū)。

?價(jià)格:免費(fèi)。

傳送門:https://owasp.org/www-project-threat-dragon/

06SDElements

SecurityCompass公司推出的SD Elements工具擁有多種威脅建模功能和資源,便于將威脅分析策略順利地轉(zhuǎn)換成自動化的檢測流程。

?系統(tǒng):提供SaaS部署或本地部署,支持主流的操作系統(tǒng)環(huán)境。

?特點(diǎn):使用調(diào)查收集數(shù)據(jù)并識別漏洞和應(yīng)對措施;擁有廣泛的報(bào)告和測試功能。

?性能:便于非專業(yè)人士上手使用,可通過官網(wǎng)為項(xiàng)目的所有階段(從安裝到培訓(xùn)和管理)提供支持。

?定價(jià):簡易版免費(fèi),專業(yè)版和企業(yè)版收費(fèi)

傳送門:https://www.securitycompass.com/sdelements/

07SplunkEnterprise Security/Essentials

Splunk Enterprise Security使用多種工具和資源(包括人工智能和機(jī)器學(xué)習(xí)),為企業(yè)的數(shù)字化系統(tǒng)架構(gòu)提供基于風(fēng)險(xiǎn)的評估。它可以從企業(yè)應(yīng)用的各種維度收集性能數(shù)據(jù),并進(jìn)行全面分析,快速識別和呈現(xiàn)潛在的威脅和漏洞。在此基礎(chǔ)上,Splunk公司還推出了免費(fèi)版工具 Security Essentials,為初級使用者提供有限的報(bào)告和建模功能。

?系統(tǒng):Splunk Enterprise Security提供SaaS或本地選項(xiàng),免費(fèi)版Security Essentials需要從Splunkbase下載。

?特點(diǎn):工具可以提供持續(xù)的安全監(jiān)控、基于風(fēng)險(xiǎn)的警報(bào)、惡意軟件檢測和原因分析。該工具還可以有效映射到殺傷鏈(Kill Chain)和Mitre ATT&CK框架。

?性能:具有易于使用的管理界面,并提供多個(gè)學(xué)習(xí)和支持服務(wù),包括Splunk大學(xué)、視頻和現(xiàn)場培訓(xùn)。

?定價(jià):Splunk Enterprise Security需付費(fèi)訂閱,Splunk Security Essentials 免費(fèi)。

傳送門:https://www.splunk.com/en_us/products/enterprise-security.html和https://splunkbase.splunk.com/app/3435

08Threagile

Threagile是一款基于代碼的開源威脅建模工具包,適用于敏捷開發(fā)環(huán)境。

?系統(tǒng):以敏捷方式評估資產(chǎn),使用YAML文件作為輸入,對威脅環(huán)境進(jìn)行建模。

?特點(diǎn):生成采用DFD和詳細(xì)報(bào)告形式的威脅模型。

?性能:使用高效,幫助用戶簡化威脅建模,并創(chuàng)建了活躍用戶社區(qū)。

?價(jià)格:免費(fèi)。

傳送門:https://threagile.io/

09ThreatModeler

ThreatModeler是面向DevOps的自動化威脅建模工具,它有三個(gè)版本:社區(qū)版、應(yīng)用程序安全版和云版。

?系統(tǒng):基于Web的服務(wù)提供,主要為技術(shù)基礎(chǔ)架構(gòu)復(fù)雜的大型企業(yè)用戶設(shè)計(jì)。

?特點(diǎn):基于VAST(可視化、敏捷和簡單威脅)模型,提供智能威脅引擎、報(bào)告引擎和集成式工作流審批,同時(shí)可直接與Jira和Jenkins關(guān)聯(lián)。

?性能:功能完善,易于操作使用,并通過ThreatModeler提供各種支持選項(xiàng)。

?定價(jià):社區(qū)版免費(fèi),完全版和云版按許可證收費(fèi)。

傳送門:https://threatmodeler.com/

10TutamenThreat Model Automator

Tutamen Threat Model Automator是由Tutamantic公司開發(fā)的自動化威脅建模工具,支持軟件架構(gòu)和開發(fā)階段的安全分析與監(jiān)測。該公司目前仍在進(jìn)一步完善該工具。

?系統(tǒng):基于云的服務(wù)提供

?特點(diǎn):可以接受現(xiàn)有主要應(yīng)用程序(包括Visio和Excel)的信息輸入模式,并提供各種威脅分析報(bào)告,便于靈活使用。

?性能:處于測試版階段。

?支持:提供Tutamantic技術(shù)支持。

?定價(jià):試用版免費(fèi)。

傳送門:https://www.tutamantic.com/

參考鏈接:https://www.techtarget.com/searchsecurity/tip/Top-threat-modeling-tools-plus-features-to-look-for

關(guān)鍵詞:

專題新聞
  • 哪些人退休后有退休工資領(lǐng)???來看看
  • 海口市區(qū)局地或有70毫米的降雨 ??诎l(fā)布暴雨橙色預(yù)警信號
  • 【當(dāng)前熱聞】潛潤集團(tuán)5.38億保障房ABS項(xiàng)目更新為“已反饋”
  • 世界熱門:事業(yè)單位養(yǎng)老金到底是怎么算的?
  • 河北省無極縣發(fā)布雷電黃色預(yù)警|獨(dú)家
  • 佳木斯市舉行“龍威”2023危險(xiǎn)化學(xué)品政企聯(lián)動應(yīng)急救援綜合演練
最近更新

京ICP備2021034106號-51

Copyright © 2011-2020  亞洲資本網(wǎng)   All Rights Reserved. 聯(lián)系網(wǎng)站:55 16 53 8 @qq.com