威脅建模是指識(shí)別并評(píng)估如何管理應(yīng)用系統(tǒng)中安全弱點(diǎn)的過(guò)程，可以幫助企業(yè)更快速地發(fā)現(xiàn)信息化系統(tǒng)應(yīng)用過(guò)程中的安全隱患，更清楚地了解安全建設(shè)需求，從而更有效地建立安全防御體系。在實(shí)際應(yīng)用中，威脅建模的主要類型包括：

對(duì)于很多企業(yè)組織而言，傳統(tǒng)的人工威脅建模方法可能非常有效，但在當(dāng)前的數(shù)字化和威脅環(huán)境中，它們不僅耗時(shí)低效，而且缺乏擴(kuò)展性，這會(huì)在很大程度上阻礙企業(yè)數(shù)字化轉(zhuǎn)型目標(biāo)的實(shí)現(xiàn)。因此，企業(yè)需要考慮新一代的威脅建模方法，優(yōu)先使用自動(dòng)化工具和大量已有的威脅信息來(lái)評(píng)估企業(yè)安全風(fēng)險(xiǎn)，并以可重復(fù)的方式實(shí)時(shí)進(jìn)行威脅建模操作，從而持續(xù)監(jiān)控組織的安全狀況。本文收集整理了目前最受企業(yè)用戶歡迎的十款自動(dòng)化威脅建模工具，并對(duì)其主要特點(diǎn)進(jìn)行了分析。

(資料圖片僅供參考)

CAIRIS是一個(gè)綜合的開(kāi)源威脅建模工具，于2012年推出。

?系統(tǒng)：這款基于Web的工具可以在多種系統(tǒng)環(huán)境下運(yùn)行，包括Ubuntu、Mac、Windows和Linux，它還可以用作Docker容器。

?特點(diǎn)：CAIRIS可創(chuàng)建詳細(xì)描述潛在威脅分子的攻擊者角色，最多可提供12個(gè)系統(tǒng)視圖以全面呈現(xiàn)組織的安全風(fēng)險(xiǎn)和架構(gòu)。工具可有效識(shí)別攻擊模式，并提供應(yīng)對(duì)攻擊的建議。

?性能：運(yùn)行高效，不過(guò)有用戶反映系統(tǒng)在信息輸入時(shí)緩慢。

?價(jià)格：免費(fèi)使用。

傳送門：https://cairis.org/

Cisco Vulnerability Management（前身是Kenna.VM）使用了廣泛的度量指標(biāo)來(lái)評(píng)估應(yīng)用程序的風(fēng)險(xiǎn)狀態(tài)。

?系統(tǒng)：該SaaS化威脅建模工具有兩種版本：Advantage和Premier。

?特點(diǎn)：可檢查數(shù)據(jù)以生成實(shí)時(shí)威脅情報(bào)，并從風(fēng)險(xiǎn)視角給用戶操作建議。

?性能：使用專有算法進(jìn)行計(jì)算，可從超過(guò)19個(gè)威脅情報(bào)源收集數(shù)據(jù)，有嚴(yán)格的數(shù)據(jù)輸入要求，提供多種報(bào)告。

?定價(jià)：基于用戶實(shí)際使用量訂閱購(gòu)買，可以免費(fèi)試用。

傳送門：https://www.cisco.com/site/us/en/products/security/vulnerability-management/index.html

IriusRisk是一款可以在軟件系統(tǒng)設(shè)計(jì)階段開(kāi)展風(fēng)險(xiǎn)分析，并創(chuàng)建軟件應(yīng)用程序威脅模型的自動(dòng)化建模工具。

?系統(tǒng)：提供SaaS部署和本地部署模式，可以支持主流的系統(tǒng)環(huán)境。

?特點(diǎn)：可自動(dòng)化生成數(shù)據(jù)收集問(wèn)卷，并使用與Jira和Azure DevOps Services等工具關(guān)聯(lián)的規(guī)則引擎生成威脅列表。此外，該工具可以與微軟威脅建模工具進(jìn)行數(shù)據(jù)共享。

?性能：操作較簡(jiǎn)單，使用方便，并通過(guò)電子郵件和故障單系統(tǒng)提供支持。

?定價(jià)：社區(qū)版免費(fèi)，同時(shí)提供基于許可證的企業(yè)版。

傳送門：https://www.iriusrisk.com/

微軟威脅建模工具是一款基于STRIDE（欺詐、篡改、拒絕、信息披露、拒絕服務(wù)和提升特權(quán)）方法構(gòu)建的開(kāi)源版軟件。

?系統(tǒng)：可在Windows系列操作系統(tǒng)環(huán)境下安裝使用。

?特點(diǎn)：使用DFD創(chuàng)建威脅模型，支持在Windows和微軟Azure云服務(wù)下運(yùn)行的系統(tǒng)，可根據(jù)用戶需要生成定制化威脅分析報(bào)告。

?性能：可為企業(yè)啟動(dòng)威脅建模項(xiàng)目提供高性價(jià)比方案，并通過(guò)微軟官網(wǎng)、各種用戶論壇提供服務(wù)支持。

?價(jià)格：免費(fèi)。

傳送門：https://learn.microsoft.com/en-us/azure/security/develop/threat-modeling-tool

Threat Dragon由OWASP于2016年開(kāi)發(fā)，是一款非常受歡迎的開(kāi)源、跨平臺(tái)威脅建模工具。

?系統(tǒng)：基于Web的SaaS化服務(wù)提供

?特點(diǎn)：可自定義規(guī)則引擎中的DFD，為用戶全面提供威脅列表、建議及其他報(bào)告。工具支持STRIDE模型和LINDDUN（關(guān)聯(lián)、識(shí)別、不可否認(rèn)、檢測(cè)、數(shù)據(jù)披露、不知情、不合規(guī)）模型。

?性能：易于使用，功能豐富，擁有較活躍的用戶社區(qū)。

?價(jià)格：免費(fèi)。

傳送門：https://owasp.org/www-project-threat-dragon/

SecurityCompass公司推出的SD Elements工具擁有多種威脅建模功能和資源，便于將威脅分析策略順利地轉(zhuǎn)換成自動(dòng)化的檢測(cè)流程。

?系統(tǒng)：提供SaaS部署或本地部署，支持主流的操作系統(tǒng)環(huán)境。

?特點(diǎn)：使用調(diào)查收集數(shù)據(jù)并識(shí)別漏洞和應(yīng)對(duì)措施；擁有廣泛的報(bào)告和測(cè)試功能。

?性能：便于非專業(yè)人士上手使用，可通過(guò)官網(wǎng)為項(xiàng)目的所有階段（從安裝到培訓(xùn)和管理）提供支持。

?定價(jià)：簡(jiǎn)易版免費(fèi)，專業(yè)版和企業(yè)版收費(fèi)

傳送門：https://www.securitycompass.com/sdelements/

Splunk Enterprise Security使用多種工具和資源（包括人工智能和機(jī)器學(xué)習(xí)），為企業(yè)的數(shù)字化系統(tǒng)架構(gòu)提供基于風(fēng)險(xiǎn)的評(píng)估。它可以從企業(yè)應(yīng)用的各種維度收集性能數(shù)據(jù)，并進(jìn)行全面分析，快速識(shí)別和呈現(xiàn)潛在的威脅和漏洞。在此基礎(chǔ)上，Splunk公司還推出了免費(fèi)版工具 Security Essentials，為初級(jí)使用者提供有限的報(bào)告和建模功能。

?系統(tǒng)：Splunk Enterprise Security提供SaaS或本地選項(xiàng)，免費(fèi)版Security Essentials需要從Splunkbase下載。

?特點(diǎn)：工具可以提供持續(xù)的安全監(jiān)控、基于風(fēng)險(xiǎn)的警報(bào)、惡意軟件檢測(cè)和原因分析。該工具還可以有效映射到殺傷鏈（Kill Chain）和Mitre ATT&CK框架。

?性能：具有易于使用的管理界面，并提供多個(gè)學(xué)習(xí)和支持服務(wù)，包括Splunk大學(xué)、視頻和現(xiàn)場(chǎng)培訓(xùn)。

?定價(jià)：Splunk Enterprise Security需付費(fèi)訂閱，Splunk Security Essentials 免費(fèi)。

傳送門：https://www.splunk.com/en_us/products/enterprise-security.html和https://splunkbase.splunk.com/app/3435

Threagile是一款基于代碼的開(kāi)源威脅建模工具包，適用于敏捷開(kāi)發(fā)環(huán)境。

?系統(tǒng)：以敏捷方式評(píng)估資產(chǎn)，使用YAML文件作為輸入，對(duì)威脅環(huán)境進(jìn)行建模。

?特點(diǎn)：生成采用DFD和詳細(xì)報(bào)告形式的威脅模型。

?性能：使用高效，幫助用戶簡(jiǎn)化威脅建模，并創(chuàng)建了活躍用戶社區(qū)。

?價(jià)格：免費(fèi)。

傳送門：https://threagile.io/

ThreatModeler是面向DevOps的自動(dòng)化威脅建模工具，它有三個(gè)版本：社區(qū)版、應(yīng)用程序安全版和云版。

?系統(tǒng)：基于Web的服務(wù)提供，主要為技術(shù)基礎(chǔ)架構(gòu)復(fù)雜的大型企業(yè)用戶設(shè)計(jì)。

?特點(diǎn)：基于VAST（可視化、敏捷和簡(jiǎn)單威脅）模型，提供智能威脅引擎、報(bào)告引擎和集成式工作流審批，同時(shí)可直接與Jira和Jenkins關(guān)聯(lián)。

?性能：功能完善，易于操作使用，并通過(guò)ThreatModeler提供各種支持選項(xiàng)。

?定價(jià)：社區(qū)版免費(fèi)，完全版和云版按許可證收費(fèi)。

傳送門：https://threatmodeler.com/

Tutamen Threat Model Automator是由Tutamantic公司開(kāi)發(fā)的自動(dòng)化威脅建模工具，支持軟件架構(gòu)和開(kāi)發(fā)階段的安全分析與監(jiān)測(cè)。該公司目前仍在進(jìn)一步完善該工具。

?系統(tǒng)：基于云的服務(wù)提供

?特點(diǎn)：可以接受現(xiàn)有主要應(yīng)用程序（包括Visio和Excel）的信息輸入模式，并提供各種威脅分析報(bào)告，便于靈活使用。

?性能：處于測(cè)試版階段。

?支持：提供Tutamantic技術(shù)支持。

?定價(jià)：試用版免費(fèi)。

傳送門：https://www.tutamantic.com/

參考鏈接：https://www.techtarget.com/searchsecurity/tip/Top-threat-modeling-tools-plus-features-to-look-for

關(guān)鍵詞：