超好用的devsecops工具（威胁建模工具）

1Microsoft-Threat-Modeling-Tool

工具详情

Microsoft Threat Modeling Tool 概述 - Azure | Microsoft Docs

2Threat Modeling Platform - Version 4

试用链接：IriusRisk V4 Threat Modeling Platform

公司简介

IriusRisk是业界领先的应用程序安全威胁建模和安全设计解决方案。 凭借包括财富500强银行、支付和技术提供商在内的企业客户，它利用其强大的威胁建模平台，使安全和开发团队从一开始就确保应用程序具有内置的安全性。

无论团队是从头开始实现威胁建模，还是扩展他们现有的操作，IriusRisk方法都会提高上市速度、跨安全和开发团队的协作，并避免代价高昂的安全缺陷

产品特点

随着威胁建模在DevOps和DevSecOps环境中发展成为一种可理解的实践，需要一种新的更灵活、更直观的用户体验来快速构建威胁模型，并允许用户跨团队和业务单元进行协作。 IriusRisk平台的最新版本通过新的用户界面、更好的可视化和更大的协作能力，将威胁建模提升到一个新的复杂水平——使IriusRisk成为组织实现安全设计的事实上的中心

1、新的用户界面

•一个新的基于react的导航框架，用于构建威胁模型和进一步改善用户体验。

•新的菜单布局更新，提供了一个更自然和直观的概念分组，以及一些术语的改进。

•新的菜单布局允许更快的访问和更容易的分组，平台的功能元素-加快创建和评估威胁模型的过程。

2、新的图表设计

版本4的另一个主要UI/UX特性是大大改进了的图表样式。 一种全新的风格已经被应用在几个关键的目标中:

•减少用户的视觉负载

•提高了视觉信息的一致性

•将用户的注意力吸引到重要的内容上

•改善视觉障碍(如色盲)的无障碍和支持

3、组件和协作

•项目组件允许您将IriusRisk产品作为其他威胁模型中的组件提供

•项目所有者可以选择如何共享项目作为一个组件，与每个人或特定的人或业务单位。

•项目可以作为IriusRisk图表部分的一个组件，就像任何其他组件一样。

4、先进的分析

•通过实时、可编辑的仪表板获得对您的威胁建模数据的可操作的见解

•创建可视化的盒子或定制使用Javascript, HTML和CSS

•按需、自动化、计划的报告-让所有团队成员都了解情况

•随着时间的推移，监测威胁建模如何降低网络安全风险

•丰富您现有工具堆栈中的数据，并使您的威胁建模数据与其他重要数据源一起可用。 从诸如Elastic、Apache Hive

3ThreatMoeler

试用链接：Threatmodeler - ThreatModeler

ThreatModeler是一个自动化的威胁建模解决方案，通过识别、预测和定义威胁，授权安全和DevOps团队做出主动的安全决策，来加强企业的SDLC。 ThreatModeler™提供了整个攻击面的整体视图，使企业能够将其整体风险降到最低。

工具特点

1、智能威胁引擎(ITE)

智能威胁引擎(ITE)利用来自应用程序或系统架构组件的功能信息，自动识别针对每个组件的所有相关和适用的威胁。ITE在识别相关威胁时，还会收集相关的安全需求、测试用例、威胁代理、代码审查指南和代码片段，以提供对威胁缓解工作进行优先排序和降低组织风险所需的所有必要信息。

2、自动威胁情报框架

威胁情报框架是一个中央存储库，用于管理、检测潜在威胁并向用户发出警报。但是，维护一个自己动手的威胁情报框架需要对安全流程进行连续的手工审查循环，并对威胁数据feed进行编辑。这使得它效率低下，无法扩展。另一方面，ThreatModeler的自动威胁情报框架通过自动实时更新威胁数据来有效地做出决策，为企业节省了这些手工处理的时间。

3、威胁模型模板

将威胁模型的可重用片段(与常用的应用程序和系统组件相对应的部分)保存为模板，可以提高威胁建模的效率。 通过从ThreatModeler的模板库中检索威胁模型模板，可以节省大量的时间和金钱来构建新的威胁模型。

4、威胁模型链接

链接提供了对每个应用程序组件、支持系统和基础设施的网络安全威胁模型之间的交互的详细了解。

工具对比

Microsoft-Threat-Modeling-Tool(TMT)vs.ThreatModeler

微软在2008年通过其免费工具——微软SDL进入了威胁建模市场。微软后来用微软的TMT(威胁建模工具)取代了这个工具，TMT是一种有限的解决方案，用于保护企业免受网络攻击和安全漏洞。该工具基于微软开发的用于识别潜在威胁的STRIDE模型。STRIDE是一个首字母缩略词，代表以下威胁:

1. 欺骗用户身份
2. 篡改
3. 否定
4. 信息披露
5. 拒绝服务
6. 提升权限

Microsoft威胁建模工具使用数据流图(dfd)，这是1970年首次采用的威胁建模方法。这种方法的问题是，它过分简化了现代数据安全需求的复杂性(描述了泛型组件类型)。世界已经采用了云技术、微服务容器和API生态系统，这需要更细粒度的威胁细节。因此，微软TMT没有为用户提供在当今安全环境下成功进行威胁建模所需的功能。它的另一个最大的缺点是它不能在除Windows以外的任何计算环境中执行。DevOps最终在竖井中工作，缺乏每个人都参与的协作。

ThreatModeler基于大量的威胁建模方法。VAST代表对企业安全标准的更现代的看法:

1. 视觉
2. 敏捷
3. 简单的
4. 威胁建模

与微软的TMT不同，ThreatModeler是使用敏捷方法和先进技术为现代DevOps团队构建的。ThreatModeler的业界领先的软件使大规模创建威胁模型成为可能——这意味着可以创建数百甚至数千个应用程序。首先，在复杂、直观的用户界面中创建威胁模型的体系结构流程流程图。体系结构图允许开发人员和业务主管(即使是那些很少或根本没有技术知识的人)为开发足够的核心安全系统做出贡献。ThreatModeler允许跨组织的多个业务功能与ciso和安全专家合作，以创建综合、准确和一致的威胁模型，其中包含多种技能和视角。

ThreatModeler还支持操作威胁建模，这是微软TMT忽略的。运营威胁建模通过运营团队创建了整个基础设施的整体视图。此外，可以将单个威胁模型链接在一起——创建一个新的威胁模型，并将其嵌套在其他威胁模型中，从而减少从头开始创建新模型的需要。对链式威胁模型所做的更改会自动反映在嵌套该模型的威胁模型中。自助服务实践变得更容易和更准确。

欢迎大家多多关注 多多点赞 多多收藏 ~