威胁建模资源

经过 jonny.

2018年11月30日

这篇文章是收集有关威胁建模的互联网资源。有一些关于威胁情报和威胁狩猎的帖子。搜索我的博客,你会发现更多。




威胁建模方法的目的

概念上,威胁建模实践从方法流出。众多威胁建模方法可用于实施。根据发表的在线内容的数量,下面讨论的四种方法是最着名的。

升级方法

这  步行 威胁建模的方法是在Microsoft在Microsoft推出,为开发人员提供了一个助记符,以找到“对我们产品的威胁”。步幅,模式和实践以及资产/入口点是微软开发和发布的威胁建模方法之一。参考“”Microsoft方法通常意味着迈出。

意大利面。

攻击模拟和威胁分析(面食)的过程是七步,以风险为中心的方法。[10] 考虑到合规问题和业务分析,它提供了一项七步过程,用于对准业务目标和技术要求。该方法的意图是提供动态威胁识别,枚举和评分过程。一旦威胁模式完成,安全主题专家就会制定对所确定的威胁的详细分析。最后,可以列举适当的安全控制。该方法旨在提供一种以攻击者为中心的应用和基础设施的视图,防御者可以制定以资产为中心的缓解策略。

tr

三通方法的重点[11] 正在使用威胁模型作为风险管理工具。在此框架内,威胁模型用于满足安全审核过程。威胁模型基于“要求模型”。需求模型确定为每个资产类别分配的利益相关者定义的“可接受的”风险水平。对需求模型的分析产生了威胁模型,从中枚举和分配风险值。完成的威胁模型用于构建基于资产,角色,措施和计算风险曝光的风险模型。

广阔的

浩瀚是视觉,敏捷和简单威胁建模的首字母缩写。[12] 该方法的基本原理是必须在基础架构和整个SDLC中扩展威胁建模过程的必要性,并将其无缝集成到敏捷软件开发方法中。该方法旨在为各种利益相关者的独特需求提供可操作的输出:应用程序架构师和开发人员,网络安全人员和高级管理人员。该方法提供了独特的应用和基础设施可视化方案,使得创建和使用威胁模型不需要特定的安全主题专业知识。

威胁建模工具

目前有五种工具可用于组织威胁建模:
  • 微软的免费威胁建模工具 - 威胁建模工具(以前的SDL威胁建模工具)。该工具还利用Microsoft威胁建模方法,是基于DFD的,并根据跨步威胁分类方案识别威胁。它主要用于一般使用。
  • MyAppSecurity提供第一个商用的威胁建模工具 - 威胁模型它它利用了庞大的方法,是基于PFD的,并根据可定制的综合威胁库识别威胁。它旨在用于所有组织利益相关者的协同用途。
  • IRIUSRISK提供了一个社区和工具的商业版本。该工具专注于通过整个SDLC创建和维护实时威胁模型。它通过使用完全可自定义的问卷和风险模式库来驱动过程,并与其他几种不同的工具(OWASP ZAP,BDD-Security,Threadfix ...)连接到Empower自动化。
  • seciCAD是斯堪的纳维亚公司Foreseeti的威胁建模和风险管理工具。它适用于CISO的CYBER SUITWER MARCTION,从CISO到Security ENGINEER到技术人员。 SecuriCAC对当前和未来的IT架构进行自动攻击模拟,在全面地确定和量化和量化风险,包括结构漏洞,并根据发现提供决策支持。 SecuriCAD在商业和社区版中提供。 
  • SD Compass的SD元素是一种软件安全要求管理平台,包括自动威胁建模功能。通过填写关于申请的技术细节和合规驱动程序的简短问卷来生成一组威胁。对策包含在整个SDLC中可以跟踪和管理的开发人员的可操作任务的形式。
攻击树建模软件
几个商业
包裹和 开源 产品可用。
开源
Adtool. from
卢森堡大学
商业的
袭击者+ from
Isograph.

sec re  from Amenaza
技术

威胁模型与威胁情报

屏幕截图2017-05-02在8.51.19 AM

其他一些术语:

  • 策略,技术和程序(TTPS):TTP是“与特定威胁演员或威胁演员组相关的活动模式或方法,”
  • 结构化威胁信息表达式(StIX™)是用于交换网络威胁情报(CTI)的语言和序列化格式。
  • 可信自动交换情报信息(Taxii™)是一种以简单且可扩展的方式通信网络威胁信息的应用层协议。 TAXII是用于通过HTTPS交换网络威胁情报(CTI)的协议。 TAXII使组织能够通过定义与公共共享模型对齐的API来共享CTI。

参考:

经过 jonny.

发表评论