可以免费试用的十大自动化威胁建模工具

威胁建模是可免指识别并评估如何管理应用系统中安全弱点的过程
，可以帮助企业更快速地发现信息化系统应用过程中的费试安全隐患
，更清楚地了解安全建设需求
，大自动化从而更有效地建立安全防御体系。威胁在实际应用中，建模威胁建模的工具主要类型包括 ：

以资产为中心的威胁模型，侧重于监测系统的可免不同部分或资产 ，然后分析资产可能面临的费试各种潜在攻击途径；以攻击者为中心的威胁模型 ，让组织可以洞察威胁/攻击者的高防服务器大自动化思维模式：他们在找什么 ？他们如何在系统中找到信息并利用它 ？然后组织把这些想法与可能有关的攻击面联系起来；以软件为中心的威胁模型，使用设计和图表来直观呈现威胁和攻击面  。威胁这是建模主流的威胁建模方法，可以更全面、工具更清晰地洞察漏洞 。可免

对于很多企业组织而言，费试传统的大自动化人工威胁建模方法可能非常有效 ，但在当前的数字化和威胁环境中，它们不仅耗时低效，而且缺乏扩展性，亿华云这会在很大程度上阻碍企业数字化转型目标的实现。因此，企业需要考虑新一代的威胁建模方法，优先使用自动化工具和大量已有的威胁信息来评估企业安全风险 ，并以可重复的方式实时进行威胁建模操作
，从而持续监控组织的安全状况 。本文收集整理了目前最受企业用户欢迎的十款自动化威胁建模工具
，并对其主要特点进行了分析。

01CAIRIS

CAIRIS是一个综合的源码库开源威胁建模工具，于2012年推出。

•系统 ：这款基于Web的工具可以在多种系统环境下运行，包括Ubuntu 、Mac、Windows和Linux ，它还可以用作Docker容器 
。

•特点：CAIRIS可创建详细描述潜在威胁分子的攻击者角色 ，最多可提供12个系统视图以全面呈现组织的安全风险和架构。工具可有效识别攻击模式 ，并提供应对攻击的建议。

•性能 ：运行高效，云计算不过有用户反映系统在信息输入时缓慢。

•价格 ：免费使用。

传送门 ：https://cairis.org/

02Cisco Vulnerability Management

Cisco Vulnerability Management（前身是Kenna.VM）使用了广泛的度量指标来评估应用程序的风险状态。

•系统：该SaaS化威胁建模工具有两种版本：Advantage和Premier  。

•特点 ：可检查数据以生成实时威胁情报 ，并从风险视角给用户操作建议
 。

•性能：使用专有算法进行计算
，可从超过19个威胁情报源收集数据
，有严格的数据输入要求，提供多种报告。

•定价 ：基于用户实际使用量订阅购买，可以免费试用。建站模板

传送门 ：https://www.cisco.com/site/us/en/products/security/vulnerability-management/index.html

03IriusRisk

IriusRisk是一款可以在软件系统设计阶段开展风险分析，并创建软件应用程序威胁模型的自动化建模工具。

•系统：提供SaaS部署和本地部署模式，可以支持主流的系统环境。

•特点
：可自动化生成数据收集问卷，并使用与Jira和Azure DevOps Services等工具关联的规则引擎生成威胁列表。此外，该工具可以与微软威胁建模工具进行数据共享。

•性能：操作较简单
 ，使用方便，并通过电子邮件和故障单系统提供支持。

•定价：社区版免费 ，源码下载同时提供基于许可证的企业版。

传送门：https://www.iriusrisk.com/

04微软威胁建模工具

微软威胁建模工具是一款基于STRIDE（欺诈、篡改 、拒绝 、信息披露 、拒绝服务和提升特权）方法构建的开源版软件
。

•系统：可在Windows系列操作系统环境下安装使用。

•特点 ：使用DFD创建威胁模型 ，支持在Windows和微软Azure云服务下运行的系统，可根据用户需要生成定制化威胁分析报告。

•性能 ：可为企业启动威胁建模项目提供高性价比方案，并通过微软官网、各种用户论坛提供服务支持。

•价格 ：免费
 。

传送门：https://learn.microsoft.com/en-us/azure/security/develop/threat-modeling-tool

05OWASP Threat Dragon

Threat Dragon由OWASP于2016年开发，是一款非常受欢迎的开源
 、跨平台威胁建模工具 。

•系统 ：基于Web的SaaS化服务提供

•特点 ：可自定义规则引擎中的DFD，为用户全面提供威胁列表
、建议及其他报告
。工具支持STRIDE模型和LINDDUN（关联、识别、不可否认、检测、数据披露、不知情、不合规）模型。

•性能：易于使用，功能丰富，拥有较活跃的用户社区。

•价格 ：免费
。

传送门 ：https://owasp.org/www-project-threat-dragon/

06SD Elements

SecurityCompass公司推出的SD Elements工具拥有多种威胁建模功能和资源，便于将威胁分析策略顺利地转换成自动化的检测流程。

•系统 ：提供SaaS部署或本地部署
，支持主流的操作系统环境 。

•特点：使用调查收集数据并识别漏洞和应对措施；拥有广泛的报告和测试功能。

•性能 ：便于非专业人士上手使用
，可通过官网为项目的所有阶段（从安装到培训和管理）提供支持 。

•定价
：简易版免费，专业版和企业版收费

传送门：https://www.securitycompass.com/sdelements/

07Splunk Enterprise Security/ Essentials

Splunk Enterprise Security使用多种工具和资源（包括人工智能和机器学习），为企业的数字化系统架构提供基于风险的评估。它可以从企业应用的各种维度收集性能数据 ，并进行全面分析，快速识别和呈现潜在的威胁和漏洞。在此基础上  ，Splunk公司还推出了免费版工具 Security Essentials  ，为初级使用者提供有限的报告和建模功能 。

•系统：Splunk Enterprise Security提供SaaS或本地选项，免费版Security Essentials需要从Splunkbase下载 。

•特点：工具可以提供持续的安全监控 、基于风险的警报  、恶意软件检测和原因分析。该工具还可以有效映射到杀伤链（Kill Chain）和Mitre ATT&CK框架
。

•性能  ：具有易于使用的管理界面，并提供多个学习和支持服务，包括Splunk大学、视频和现场培训 。

•定价 ：Splunk Enterprise Security需付费订阅 ，Splunk Security Essentials 免费。

传送门：https://www.splunk.com/en_us/products/enterprise-security.html和https://splunkbase.splunk.com/app/3435

08Threagile

Threagile是一款基于代码的开源威胁建模工具包 ，适用于敏捷开发环境。

•系统：以敏捷方式评估资产，使用YAML文件作为输入，对威胁环境进行建模 。

•特点：生成采用DFD和详细报告形式的威胁模型 。

•性能 ：使用高效，帮助用户简化威胁建模，并创建了活跃用户社区 。

•价格：免费
。

传送门：https://threagile.io/

09ThreatModeler

ThreatModeler是面向DevOps的自动化威胁建模工具
，它有三个版本 ：社区版、应用程序安全版和云版。

•系统：基于Web的服务提供，主要为技术基础架构复杂的大型企业用户设计
 。

•特点 ：基于VAST（可视化
、敏捷和简单威胁）模型 ，提供智能威胁引擎
 、报告引擎和集成式工作流审批，同时可直接与Jira和Jenkins关联。

•性能：功能完善，易于操作使用 ，并通过ThreatModeler提供各种支持选项。

•定价：社区版免费  ，完全版和云版按许可证收费
。

传送门：https://threatmodeler.com/

10Tutamen Threat Model Automator

Tutamen Threat Model Automator是由Tutamantic公司开发的自动化威胁建模工具 
，支持软件架构和开发阶段的安全分析与监测。该公司目前仍在进一步完善该工具。

•系统 ：基于云的服务提供

•特点 ：可以接受现有主要应用程序（包括Visio和Excel）的信息输入模式 ，并提供各种威胁分析报告，便于灵活使用。

•性能 ：处于测试版阶段 。

•支持：提供Tutamantic技术支持 。

•定价
：试用版免费
。

传送门
：https://www.tutamantic.com/

参考链接：https://www.techtarget.com/searchsecurity/tip/Top-threat-modeling-tools-plus-features-to-look-for