自动威胁建模工具可简化识别威胁的过程,这些威胁瞄准企业和信息系统,并可能削弱缓解措施和对策。
威胁建模的范围从简单的流程图到高度复杂的数学算法和框架。手动整理所有这些信息效率低下且耗时,而自动化工具不仅可以加快流程,还可以生成建议,以应对潜在威胁。
自动化工具有很多不同的形式,从免费的开源应用程序到可能花费数百或数千美元的强大程序。下面让我们来看看在选择威胁建模软件时应该寻找什么功能,并评估市场上的 10 种产品。
如何选择威胁建模工具
在选择威胁建模工具前,请让业务端和技术方的高层管理人员参与进来。业务经理应确定最重要的资产,IT 员工应该谈论支持这些资产所需的技术,强调最关键的风险、威胁和漏洞。
对于评估和选择过程,关键标准应包括确定以下内容:
- 在抵御安全威胁时应考虑业务要求、目标和运营目标。
- 威胁建模工具的预期结果和输出,例如报告、分析、评估、可视化图表和建议。
- 存在风险、威胁和漏洞并需要防范恶意攻击的情况。
- 如何确定和定义适当的对策,以缓解已识别的威胁和漏洞。
- 如何测试和验证所选应用程序的性能。
- 如何将所选系统集成到企业内的其他威胁计划中。
- 许可、定价和维护选项,以进行公平准确的比较。
- 立即采取的行动,以增强对未来威胁的防范。
其中一种策略是使用模型(例如软件开发生命周期SDLC)来帮助选择威胁建模工具。在很多情况下,企业会部署这种工具来保护特定的应用程序或系统。SDLC组件(规划、需求、设计、开发、测试、部署和维护)可以作为重要的框架。理想情况下,该软件应支持每个 SDLC 进程。
在威胁建模工具中寻找的功能
现在的威胁建模工具提供各种各样的功能。下面是每个工具都应提供的重要功能和优势。
易于数据输入
根据分所析的系统,请考虑如何将数据输入工具。属性应包括系统设计、架构、输入/输出特性和安全功能,以及合规性因素(如果系统需遵守一项或多项法规)。上传视觉对象(例如数据流图DFD)的功能是一个加分项。数据输入也可以采用调查表的形式。
系统中可用的威胁情报
验证威胁情报的来源(例如 Mitre Corp. 的ATT&CK 和常见攻击模式枚举和分类存储库-包含攻击者数据和技术)是否可以嵌入到该工具中。
全面的运营威胁仪表板
寻找一个仪表板,该仪表板可显示系统活动的高度详细和交互式视图,并跟踪所有可用的威胁信息。
缓解措施和对策仪表板
请确保该工具可以显示缓解措施和对策建议,例如安全修改、代码更改或其他操作。此功能应与威胁仪表板动态交互。
嵌入各种规则的系统引擎
如果需要遵守各种标准和法规,请确定该系统是否可以将安全操作与适当的合规性要求进行映射。
可扩展性
扩展或缩减功能是一个重要的考虑因素。该工具应该能够为复杂的分析提供额外的处理能力。
与现有生产环境的连接和集成
威胁建模工具与相关生产元素之间的连接使企业能够利用实时建模功能-使用活动性能数据。与Jenkins 和Jira等运营支持工具的连接可确保威胁模型输出基于真实数据。
报告
呈现可操作的信息(无论是在仪表板上还是在打印报表上)都是必不可少的。高级管理层和其他感兴趣的收件人(例如业务部门领导)应该能够轻松阅读结果,并了解如何解决威胁。
维护和支持
选择易于管理和维护的工具,该工具支持嵌入式系统性能和状态读数,让管理员了解情况。如果发生故障,管理员应该能够接收有关状况的信息,并启动补救措施。
值得关注的顶级威胁建模工具
在选择威胁建模工具时,以下是企业可以考虑的 10 个工具。
CAIRIS
CAIRIS的全称是Computer Aided Integration of Requirements and Information Security,它是 2012 年推出的综合开源威胁建模工具。
- 系统:基于Web的工具,可在各种环境中运行,包括Ubuntu、Mac、Windows和Linux。它也可以用作 Docker 容器。
- 功能:创建攻击者角色,详细说明潜在威胁参与者。它的 12 个系统视图代表风险和架构视角。它识别攻击模式并提供有关攻击缓解的见解。
- 性能:高效,尽管有报告称其系统信息输入缓慢。
- 支持:在线文档、演示和教程。
- 定价:免费。
Cisco Vulnerability Management
以前称为Kenna.VM,Cisco Vulnerability Management使用各种指标报告应用程序的风险状态。
- 系统:SaaS工具在两个计划中提供:Advantage 和Premier。
- 功能:检查数据以生成实时威胁情报,并从风险角度提供操作建议。
- 性能:在其计算中使用专有算法,从超过 19 个威胁情报源收集数据,具有严格的数据输入要求,并提供各种报告。
- 支持:提供基本和扩展支持。
- 定价:基于使用情况的订阅。
IriusRisk
IriusRisk在设计阶段执行风险分析,并创建软件应用程序的威胁模型。
- 系统:提供 SaaS 和本地部署。
- 功能:使用调查问卷收集数据,并使用与Jira和Azure DevOps Services等工具链接的规则引擎生成威胁列表。Microsoft威胁建模工具中的文件可以导入到IriusRisk中。
- 性能:易于使用。
- 支持:通过电子邮件和故障单系统。
定价:免费社区版本和基于许可证的企业订阅版本。
Microsoft威胁建模工具
Microsoft威胁建模工具是基于STRIDE(仿冒、篡改、抵赖、信息泄露、拒绝服务、权限提升)方法构建的开源软件。
- 系统:基于Windows的台式机或笔记本电脑应用程序。
- 功能:使用DFD创建威胁模型;支持在Windows和Microsoft Azure云服务下运行的系统;生成各种报告。
- 性能:为启动威胁建模举措提供经济高效的起点。
- 支持:通过Microsoft、各种用户论坛和文档。
- 定价:免费。
OWASP Threat Dragon
开源的跨平台Threat Dragon威胁建模工具由OWASP于2016年开发。
- 系统:基于网络。
- 功能:创建DFD,这些DFD输送到规则引擎中,以提供威胁列表、建议和其他报告。它支持 STRIDE和LINDDUN(连接、识别、不可否认、检测、数据泄露、无意识、不合规)模型。
- 性能:易于使用,具有多种功能。
- 支持:文档,以及可帮助故障排除的活跃用户社区
- 定价:免费。
SD Elements
通过各种威胁建模功能和资源自动识别威胁和对策,SecurityCompass的SD Elements将策略顺利地转换为程序。
- 系统:SaaS 或本地部署。
- 功能:使用调查收集数据,并确定漏洞和缓解措施。广泛的报告和测试功能。
- 性能:在完成学习曲线,效率高。
- 支持:通过SecurityCompass、支持跨越项目的所有阶段,从安装到培训和管理。
定价:基于使用情况。目前提供三个版本:Express、Professional 和Enterprise。
Splunk Enterprise Security 和 Splunk Security Essentials
Splunk Enterprise Security 使用广泛的工具和资源(包括 AI 和机器学习)对企业的技术架构进行基于风险的评估。它从整个企业收集性能数据,从多个角度进行分析,并识别和可视化潜在的威胁和漏洞。Splunk Security Essentials是该供应商提供的免费工具,提供有限的仪表板,报告和功能。
- 系统:Splunk Enterprise Security 在SaaS或本地选项中可用。Splunk Security Essentials可在Splunkbase中作为应用程序下载。
- 特点:Splunk Security Essentials提供持续监控、基于风险的警报、恶意软件检测和根本原因分析。Splunk Security Essentials映射到Kill Chain和Mitre ATT&CK框架。
- 性能:易于使用的界面和仪表板。
- 支持:提供学习和支持服务,包括Splunk大学、视频和现场培训。
- 定价:Splunk Enterprise Security需要许可证,并具有基于工作负载、实体和摄取的定价。Splunk Security Essentials免费提供。
Threagile
Threagile 是一个开源、基于代码的威胁建模工具包,可在Agile环境中运行。
- 系统:基于集成开发环境的工具,通过使用 YAML 文件进行输入,以敏捷方式评估资产,对威胁环境进行建模。
- 功能:生成 DFD 形式的威胁模型和详细报告。
- 性能:高效,可轻松进行威胁建模。
- 支持:文档,以及可帮助故障排除的活跃用户社区。
- 定价:免费。
威胁建模器
ThreatModeler 是用于DevOps的自动化威胁建模工具。它有三个版本:Community、Appsec 和Cloud。
- 系统:基于 Web,主要为具有复杂技术基础结构的大型企业设计。
- 功能:基于 VAST (可视化、敏捷和简单威胁)模型。提供智能威胁引擎、报告引擎和集成的工作流审批。支持很多其他系统,并与 Jira 和 Jenkins 进行本机链接。
- 性能:轻松浏览各种功能。
- 支持:通过ThreatModeler提供的各种支持选项。
- 定价:社区版是免费的。Appsec 和云版本是基于许可证的。
Tutamen Threat Model Automator
Tutamantic的Tutamen Threat Model Automator支持架构和设计阶段的安全开发。该公司目前正在开发该工具。
- 系统:基于云。
- 功能:接受来自已建立的应用程序(包括 Visio 和 Excel)的输入,并提供各种报告。灵活。
- 性能:目前提供测试版。
- 支持:通过Tutamantic技术支持。
- 定价:测试版不收费。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
翻译
相关推荐
-
如何防止DDoS攻击
分布式拒绝服务(DDoS)攻击,尽管广为人知,但仍然是恶意行为者用来对企业造成财务和声誉损害的常见的方法。 然 […]
-
API安全成熟度模型用于评估API安全态势
随着企业使用的API数量不断增加,保护这些代码位比以往任何时候都更加重要,它们使软件能够通信。为此,团队必须审 […]
-
CrowdStrike:内容验证漏洞导致全球中断
CrowdStrike周三表示,该网络安全供应商内容验证系统中的漏洞是导致上周五全球中断的的原因。 上周五,C […]
-
微软在7月的周二补丁日修复2个零日漏洞
微软在7月周二补丁日中修复了142个漏洞,包括两个正在被积极利用的零日漏洞。 零日漏洞包括CVE-2024-3 […]