威脅建模是指識別并評估如何管理應用系統中安全弱點的過程，可以幫助企業(yè)更快速地發(fā)現信息化系統應用過程中的安全隱患，更清楚地了解安全建設需求，從而更有效地建立安全防御體系。在實際應用中，威脅建模的主要類型包括：

對于很多企業(yè)組織而言，傳統的人工威脅建模方法可能非常有效，但在當前的數字化和威脅環(huán)境中，它們不僅耗時低效，而且缺乏擴展性，這會在很大程度上阻礙企業(yè)數字化轉型目標的實現。因此，企業(yè)需要考慮新一代的威脅建模方法，優(yōu)先使用自動化工具和大量已有的威脅信息來評估企業(yè)安全風險，并以可重復的方式實時進行威脅建模操作，從而持續(xù)監(jiān)控組織的安全狀況。本文收集整理了目前最受企業(yè)用戶歡迎的十款自動化威脅建模工具，并對其主要特點進行了分析。

(資料圖片僅供參考)

CAIRIS是一個綜合的開源威脅建模工具，于2012年推出。

?系統：這款基于Web的工具可以在多種系統環(huán)境下運行，包括Ubuntu、Mac、Windows和Linux，它還可以用作Docker容器。

?特點：CAIRIS可創(chuàng)建詳細描述潛在威脅分子的攻擊者角色，最多可提供12個系統視圖以全面呈現組織的安全風險和架構。工具可有效識別攻擊模式，并提供應對攻擊的建議。

?性能：運行高效，不過有用戶反映系統在信息輸入時緩慢。

?價格：免費使用。

傳送門：https://cairis.org/

Cisco Vulnerability Management（前身是Kenna.VM）使用了廣泛的度量指標來評估應用程序的風險狀態(tài)。

?系統：該SaaS化威脅建模工具有兩種版本：Advantage和Premier。

?特點：可檢查數據以生成實時威脅情報，并從風險視角給用戶操作建議。

?性能：使用專有算法進行計算，可從超過19個威脅情報源收集數據，有嚴格的數據輸入要求，提供多種報告。

?定價：基于用戶實際使用量訂閱購買，可以免費試用。

傳送門：https://www.cisco.com/site/us/en/products/security/vulnerability-management/index.html

IriusRisk是一款可以在軟件系統設計階段開展風險分析，并創(chuàng)建軟件應用程序威脅模型的自動化建模工具。

?系統：提供SaaS部署和本地部署模式，可以支持主流的系統環(huán)境。

?特點：可自動化生成數據收集問卷，并使用與Jira和Azure DevOps Services等工具關聯的規(guī)則引擎生成威脅列表。此外，該工具可以與微軟威脅建模工具進行數據共享。

?性能：操作較簡單，使用方便，并通過電子郵件和故障單系統提供支持。

?定價：社區(qū)版免費，同時提供基于許可證的企業(yè)版。

傳送門：https://www.iriusrisk.com/

微軟威脅建模工具是一款基于STRIDE（欺詐、篡改、拒絕、信息披露、拒絕服務和提升特權）方法構建的開源版軟件。

?系統：可在Windows系列操作系統環(huán)境下安裝使用。

?特點：使用DFD創(chuàng)建威脅模型，支持在Windows和微軟Azure云服務下運行的系統，可根據用戶需要生成定制化威脅分析報告。

?性能：可為企業(yè)啟動威脅建模項目提供高性價比方案，并通過微軟官網、各種用戶論壇提供服務支持。

?價格：免費。

傳送門：https://learn.microsoft.com/en-us/azure/security/develop/threat-modeling-tool

Threat Dragon由OWASP于2016年開發(fā)，是一款非常受歡迎的開源、跨平臺威脅建模工具。

?系統：基于Web的SaaS化服務提供

?特點：可自定義規(guī)則引擎中的DFD，為用戶全面提供威脅列表、建議及其他報告。工具支持STRIDE模型和LINDDUN（關聯、識別、不可否認、檢測、數據披露、不知情、不合規(guī)）模型。

?性能：易于使用，功能豐富，擁有較活躍的用戶社區(qū)。

?價格：免費。

傳送門：https://owasp.org/www-project-threat-dragon/

SecurityCompass公司推出的SD Elements工具擁有多種威脅建模功能和資源，便于將威脅分析策略順利地轉換成自動化的檢測流程。

?系統：提供SaaS部署或本地部署，支持主流的操作系統環(huán)境。

?特點：使用調查收集數據并識別漏洞和應對措施；擁有廣泛的報告和測試功能。

?性能：便于非專業(yè)人士上手使用，可通過官網為項目的所有階段（從安裝到培訓和管理）提供支持。

?定價：簡易版免費，專業(yè)版和企業(yè)版收費

傳送門：https://www.securitycompass.com/sdelements/

Splunk Enterprise Security使用多種工具和資源（包括人工智能和機器學習），為企業(yè)的數字化系統架構提供基于風險的評估。它可以從企業(yè)應用的各種維度收集性能數據，并進行全面分析，快速識別和呈現潛在的威脅和漏洞。在此基礎上，Splunk公司還推出了免費版工具 Security Essentials，為初級使用者提供有限的報告和建模功能。

?系統：Splunk Enterprise Security提供SaaS或本地選項，免費版Security Essentials需要從Splunkbase下載。

?特點：工具可以提供持續(xù)的安全監(jiān)控、基于風險的警報、惡意軟件檢測和原因分析。該工具還可以有效映射到殺傷鏈（Kill Chain）和Mitre ATT&CK框架。

?性能：具有易于使用的管理界面，并提供多個學習和支持服務，包括Splunk大學、視頻和現場培訓。

?定價：Splunk Enterprise Security需付費訂閱，Splunk Security Essentials 免費。

傳送門：https://www.splunk.com/en_us/products/enterprise-security.html和https://splunkbase.splunk.com/app/3435

Threagile是一款基于代碼的開源威脅建模工具包，適用于敏捷開發(fā)環(huán)境。

?系統：以敏捷方式評估資產，使用YAML文件作為輸入，對威脅環(huán)境進行建模。

?特點：生成采用DFD和詳細報告形式的威脅模型。

?性能：使用高效，幫助用戶簡化威脅建模，并創(chuàng)建了活躍用戶社區(qū)。

?價格：免費。

傳送門：https://threagile.io/

ThreatModeler是面向DevOps的自動化威脅建模工具，它有三個版本：社區(qū)版、應用程序安全版和云版。

?系統：基于Web的服務提供，主要為技術基礎架構復雜的大型企業(yè)用戶設計。

?特點：基于VAST（可視化、敏捷和簡單威脅）模型，提供智能威脅引擎、報告引擎和集成式工作流審批，同時可直接與Jira和Jenkins關聯。

?性能：功能完善，易于操作使用，并通過ThreatModeler提供各種支持選項。

?定價：社區(qū)版免費，完全版和云版按許可證收費。

傳送門：https://threatmodeler.com/

Tutamen Threat Model Automator是由Tutamantic公司開發(fā)的自動化威脅建模工具，支持軟件架構和開發(fā)階段的安全分析與監(jiān)測。該公司目前仍在進一步完善該工具。

?系統：基于云的服務提供

?特點：可以接受現有主要應用程序（包括Visio和Excel）的信息輸入模式，并提供各種威脅分析報告，便于靈活使用。

?性能：處于測試版階段。

?支持：提供Tutamantic技術支持。

?定價：試用版免費。

傳送門：https://www.tutamantic.com/

參考鏈接：https://www.techtarget.com/searchsecurity/tip/Top-threat-modeling-tools-plus-features-to-look-for

關鍵詞：