天天消息!可以免费试用的十大自动化威胁建模工具

首页>资讯 > 正文
2023-06-26 14:32:44

来源:安全牛

威胁建模是指识别并评估如何管理应用系统中安全弱点的过程,可以帮助企业更快速地发现信息化系统应用过程中的安全隐患,更清楚地了解安全建设需求,从而更有效地建立安全防御体系。在实际应用中,威胁建模的主要类型包括:

以资产为中心的威胁模型,侧重于监测系统的不同部分或资产,然后分析资产可能面临的各种潜在攻击途径;以攻击者为中心的威胁模型,让组织可以洞察威胁/攻击者的思维模式:他们在找什么?他们如何在系统中找到信息并利用它?然后组织把这些想法与可能有关的攻击面联系起来;以软件为中心的威胁模型,使用设计和图表来直观呈现威胁和攻击面。这是主流的威胁建模方法,可以更全面、更清晰地洞察漏洞。

对于很多企业组织而言,传统的人工威胁建模方法可能非常有效,但在当前的数字化和威胁环境中,它们不仅耗时低效,而且缺乏扩展性,这会在很大程度上阻碍企业数字化转型目标的实现。因此,企业需要考虑新一代的威胁建模方法,优先使用自动化工具和大量已有的威胁信息来评估企业安全风险,并以可重复的方式实时进行威胁建模操作,从而持续监控组织的安全状况。本文收集整理了目前最受企业用户欢迎的十款自动化威胁建模工具,并对其主要特点进行了分析。

01CAIRIS

CAIRIS是一个综合的开源威胁建模工具,于2012年推出。


(资料图片)

•系统:这款基于Web的工具可以在多种系统环境下运行,包括Ubuntu、Mac、Windows和Linux,它还可以用作Docker容器。

•特点:CAIRIS可创建详细描述潜在威胁分子的攻击者角色,最多可提供12个系统视图以全面呈现组织的安全风险和架构。工具可有效识别攻击模式,并提供应对攻击的建议。

•性能:运行高效,不过有用户反映系统在信息输入时缓慢。

•价格:免费使用。

传送门:https://cairis.org/

02Cisco Vulnerability Management

Cisco Vulnerability Management(前身是Kenna.VM)使用了广泛的度量指标来评估应用程序的风险状态。

•系统:该SaaS化威胁建模工具有两种版本:Advantage和Premier。

•特点:可检查数据以生成实时威胁情报,并从风险视角给用户操作建议。

•性能:使用专有算法进行计算,可从超过19个威胁情报源收集数据,有严格的数据输入要求,提供多种报告。

•定价:基于用户实际使用量订阅购买,可以免费试用。

传送门:https://www.cisco.com/site/us/en/products/security/vulnerability-management/index.html

03IriusRisk

IriusRisk是一款可以在软件系统设计阶段开展风险分析,并创建软件应用程序威胁模型的自动化建模工具。

•系统:提供SaaS部署和本地部署模式,可以支持主流的系统环境。

•特点:可自动化生成数据收集问卷,并使用与Jira和Azure DevOps Services等工具关联的规则引擎生成威胁列表。此外,该工具可以与微软威胁建模工具进行数据共享。

•性能:操作较简单,使用方便,并通过电子邮件和故障单系统提供支持。

•定价:社区版免费,同时提供基于许可证的企业版。

传送门:https://www.iriusrisk.com/

04微软威胁建模工具

微软威胁建模工具是一款基于STRIDE(欺诈、篡改、拒绝、信息披露、拒绝服务和提升特权)方法构建的开源版软件。

•系统:可在Windows系列操作系统环境下安装使用。

•特点:使用DFD创建威胁模型,支持在Windows和微软Azure云服务下运行的系统,可根据用户需要生成定制化威胁分析报告。

•性能:可为企业启动威胁建模项目提供高性价比方案,并通过微软官网、各种用户论坛提供服务支持。

•价格:免费。

传送门:https://learn.microsoft.com/en-us/azure/security/develop/threat-modeling-tool

05OWASPThreat Dragon

Threat Dragon由OWASP于2016年开发,是一款非常受欢迎的开源、跨平台威胁建模工具。

•系统:基于Web的SaaS化服务提供

•特点:可自定义规则引擎中的DFD,为用户全面提供威胁列表、建议及其他报告。工具支持STRIDE模型和LINDDUN(关联、识别、不可否认、检测、数据披露、不知情、不合规)模型。

•性能:易于使用,功能丰富,拥有较活跃的用户社区。

•价格:免费。

传送门:https://owasp.org/www-project-threat-dragon/

06SDElements

SecurityCompass公司推出的SD Elements工具拥有多种威胁建模功能和资源,便于将威胁分析策略顺利地转换成自动化的检测流程。

•系统:提供SaaS部署或本地部署,支持主流的操作系统环境。

•特点:使用调查收集数据并识别漏洞和应对措施;拥有广泛的报告和测试功能。

•性能:便于非专业人士上手使用,可通过官网为项目的所有阶段(从安装到培训和管理)提供支持。

•定价:简易版免费,专业版和企业版收费

传送门:https://www.securitycompass.com/sdelements/

07SplunkEnterprise Security/Essentials

Splunk Enterprise Security使用多种工具和资源(包括人工智能和机器学习),为企业的数字化系统架构提供基于风险的评估。它可以从企业应用的各种维度收集性能数据,并进行全面分析,快速识别和呈现潜在的威胁和漏洞。在此基础上,Splunk公司还推出了免费版工具 Security Essentials,为初级使用者提供有限的报告和建模功能。

•系统:Splunk Enterprise Security提供SaaS或本地选项,免费版Security Essentials需要从Splunkbase下载。

•特点:工具可以提供持续的安全监控、基于风险的警报、恶意软件检测和原因分析。该工具还可以有效映射到杀伤链(Kill Chain)和Mitre ATT&CK框架。

•性能:具有易于使用的管理界面,并提供多个学习和支持服务,包括Splunk大学、视频和现场培训。

•定价:Splunk Enterprise Security需付费订阅,Splunk Security Essentials 免费。

传送门:https://www.splunk.com/en_us/products/enterprise-security.html和https://splunkbase.splunk.com/app/3435

08Threagile

Threagile是一款基于代码的开源威胁建模工具包,适用于敏捷开发环境。

•系统:以敏捷方式评估资产,使用YAML文件作为输入,对威胁环境进行建模。

•特点:生成采用DFD和详细报告形式的威胁模型。

•性能:使用高效,帮助用户简化威胁建模,并创建了活跃用户社区。

•价格:免费。

传送门:https://threagile.io/

09ThreatModeler

ThreatModeler是面向DevOps的自动化威胁建模工具,它有三个版本:社区版、应用程序安全版和云版。

•系统:基于Web的服务提供,主要为技术基础架构复杂的大型企业用户设计。

•特点:基于VAST(可视化、敏捷和简单威胁)模型,提供智能威胁引擎、报告引擎和集成式工作流审批,同时可直接与Jira和Jenkins关联。

•性能:功能完善,易于操作使用,并通过ThreatModeler提供各种支持选项。

•定价:社区版免费,完全版和云版按许可证收费。

传送门:https://threatmodeler.com/

10TutamenThreat Model Automator

Tutamen Threat Model Automator是由Tutamantic公司开发的自动化威胁建模工具,支持软件架构和开发阶段的安全分析与监测。该公司目前仍在进一步完善该工具。

•系统:基于云的服务提供

•特点:可以接受现有主要应用程序(包括Visio和Excel)的信息输入模式,并提供各种威胁分析报告,便于灵活使用。

•性能:处于测试版阶段。

•支持:提供Tutamantic技术支持。

•定价:试用版免费。

传送门:https://www.tutamantic.com/

参考链接:https://www.techtarget.com/searchsecurity/tip/Top-threat-modeling-tools-plus-features-to-look-for

标签:

THE END
免责声明:本文系转载,版权归原作者所有;旨在传递信息,不代表热讯制鞋网的观点和立场。

相关热点

新华社电 上海市文化和旅游局近日发布《上海市密室剧本杀内容备案管理规定(征求意见稿)》,并截至12月8日面向社会公众广泛征求意见。这
2021-11-19 13:46:03
《中国证券报》17日刊发文章《备战2022 基金经理调仓换股布新局》。文章称,距离2021年结束仅剩一个多月,基金业绩分化明显。部分排名靠前
2021-11-19 13:46:03
交通运输部办公厅 中国人民银行办公厅 中国银行保险监督管理委员会办公厅关于进一步做好货车ETC发行服务有关工作的通知各省、自治区、直
2021-11-19 13:45:58
新华社北京11月17日电 题:从10月份市场供需积极变化看中国经济韧性新华社记者魏玉坤、丁乐读懂中国经济,一个直观的视角就是市场供需两端
2021-11-19 13:45:58
全国教育财务工作会议披露的消息称,2020年,中国国家财政性教育经费投入达4 29万亿元,占GDP总量的4 206%,我国国家财政性教育经费支出占G
2021-11-19 13:45:48
如果你也热爱“种草”,前方高能预警!让你心心念念、“浏览”忘返的网络平台,可能早已成为一块块“韭菜地”。近日,据《半月谈》报道,有...
2021-11-19 13:45:48
日前,工业和信息化部印发《“十四五”信息通信行业发展规划》(以下简称《规划》),描绘了未来5年信息通信行业的发展趋势。《规划》指出...
2021-11-19 13:45:40
本报讯(中青报·中青网记者 周围围)2021年快递业务旺季正式拉开帷幕。国家邮政局监测数据显示,仅11月1日当日,全国共揽收快递包裹5 69
2021-11-19 13:45:40
人民网曼谷11月17日电 (记者赵益普)17日上午,中国援柬埔寨第七批200万剂科兴新冠疫苗抵达金边国际机场。当天,柬埔寨政府在机场举行了
2021-11-19 13:45:35
金坛压缩空气储能国家试验示范项目主体工程一角受访者供图依托清华大学非补燃压缩空气储能技术,金坛压缩空气储能项目申请专利百余项,建立
2021-11-19 13:45:35
视觉中国供图42亿立方米据有关部门预计,今年山西煤炭产量有望突破12亿吨,12月份山西外送电能力将超过900万千瓦,今冬明春煤层气产量将达4
2021-11-19 13:44:34
14省份相继发布2021年企业工资指导线——引导企业合理提高职工工资今年以来,天津、新疆、内蒙古、陕西、西藏、山东、江西、山西、福建、四
2021-11-19 13:44:34
中新网客户端北京11月18日电 (记者 谢艺观)“一条路海角天涯,两颗心相依相伴,风吹不走誓言,雨打不湿浪漫,意济苍生苦与痛,情牵天下喜
2021-11-19 13:44:31
近日,交通运输部等三部门发布《关于进一步做好货车ETC发行服务有关工作的通知》。通知提到,对不具备授信条件的用户,商业银行可在依法合
2021-11-19 13:44:31
欧莱雅面膜陷优惠“年度最大”风波 涉及该事件集体投诉超6000人次美妆大牌双十一促销翻车?近日,因预售价格比双十一现货贵出66%,欧莱雅
2021-11-19 13:44:13
43 6%受访者会在工作两三年后考虑跳槽54 3%受访者认为跳槽对个人职业发展有利有弊如今对不少年轻人来说,想对一份工作“从一而终”不太容易
2021-11-19 13:44:13
超八成受访青年表示如有机会愿意开展副业 规划能力最重要64 4%受访青年指出做副业跟风心态最要不得如今,“身兼数职”已成为年轻人当中的
2021-11-19 13:44:01
发展氢能正当其时【科学随笔】氢能是一种二次能源,它通过一定的方法利用其他能源制取,具有清洁无污染、可储存、与多种能源便捷转换等优点
2021-11-19 13:44:01
“千杯不醉”的解酒“神药”能信吗?专家:网红“解酒药” 其实不算药俗话说,“酒逢知己千杯少”,酒一直是国人饭桌上至关重要的存在。尽...
2021-11-19 13:43:57
最新文章

相关推荐