Threat Dragon:一款針對OWASP的威脅模型構建平臺

2021-02-24 FreeBuf

OWASP Threat Dragon

Threat Dragon是一個免費的、開源的、跨平臺的威脅模型構建應用,其中包含了系統圖表和支持威脅/解決方案自動生成的規則引擎。Threat Dragon是一款針對OWASP的威脅模型構建平臺,該項目基於UX(一個功能強大的規則引擎)實現其功能,並且整合了其他開發生命周期工具。

在Threat Dragon的幫助下,研究人員可以輕鬆對OWASP定義的威脅模型和風險評估進行分析建模,並且能夠幫助研究人員實現以下任務:

設計數據流圖表;

自動對安全威脅進行判斷和評級;

提供建議的解決方案;

Threat Dragon目前有以下兩種版本:Web端應用程式:針對Web應用程式,模型文件將存儲在GitHub上,目前開發人員正在維護一個與主代碼分支同步的工作原型。桌面端應用程式:這個版本基於Electron實現,並且支持Windows和macOS系統,Linux平臺也可以通過rpm和debian包管理工具來安裝。桌面端應用程式的模型文件存儲在本地文件系統中。

工具幫助文檔:http://docs.threatdragon.org/

本地安裝

如需安裝最新版本的Threat Dragon,首先需要使用下列命令將項目源碼克隆至本地,然後直接通過npm命令進行工具安裝和構建,並在本地運行Threat Dragon:

git clone https://github.com/mike-goodwin/owasp-threat-dragon-desktop
npm install
接下來,運行下列命令來啟動工具:
Windows平臺和macOS平臺的安裝工具可以進入https://github.com/mike-goodwin/owasp-threat-dragon-desktop/releases獲取和下載,當然了,代碼庫的Release頁面中也提供了Debian和Fedora Linux的代碼文件。
工具運行截圖
下面給出的是Threat Dragon的一些運行界面截圖。
首先,給出的是工具的歡迎界面:
圖表界面:
威脅編輯界面:
漏洞披露
如果你在本項目中發現了安全漏洞,請儘快告知我們,我們會在第一時間嘗試修復相關問題。從安全的角度出發,請大家使用下列GPG密鑰來給我們發送相關漏洞的郵件信息(mike.goodwin@owasp.org):
Version: FlowCrypt 5.1.8 Gmail Encryption flowcrypt.com
Comment: Seamlessly send, receive and search encrypted email
xsFNBFpiJ5sBEAC6AhZh14eYwGQJZaUPAapquUYeEJjBEpoR8CyKLTkDVOwP
fyPRQ9ca9Fe1D9X/XohmvxJPscftmQo+b+FJYjB3hes1mGD0X0XszY/fzAkY
XNOxSSowKPbysmTA5JpLjTBUW8c7lSFBD1h8xcYOoE3HVeMEP5ni3hw4i+et
cjlcS6LsmtbyOgkLjwcZEiw5DLJEtnVzaUAIeoh1nZ6w1QVOFdLw7ccAG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=8d0U
如果你不想使用PGP的話,請進入https://flowcrypt.com/me/mikegoodwin發送加密郵件。
項目地址
Threat Dragon:
https://github.com/mike-goodwin/owasp-threat-dragon-desktop

相關焦點

  • OWASP 威脅和保護矩陣 (TaSM)
    簡而言之,如果 Cyber 從事收入保護業務,那麼我們需要制定縱深防禦計劃,以應對我們公司面臨的最大威脅。該矩陣允許公司使用 NIST 網絡安全功能(識別、保護、檢測、響應和恢復)覆蓋其主要威脅,以構建強大的安全計劃。執行此活動的組織將更好地了解如何保護他們的公司,因為他們填寫了減輕重要威脅的保護措施。記住魔鬼在細節中,因此我們選擇了塔斯馬尼亞魔鬼作為項目標誌。
  • Pytm:一款Python風格的威脅建模框架
    Pytm是一款Python風格的威脅建模框架,它可以幫助我們以Python語言風格的形式並使用pytm框架中的元素和屬性來定義你的系統。根據我們的定義參數,pytm可以針對你的系統生成數據流圖(DFD)、序列圖以及威脅模型。
  • 五一威脅情報特輯(一)
    工具、樣本、戰術戰法和溯源追蹤方式方法以及國際國內關於威脅情報等相關方面採集。https://blog.alyac.co.kr/22816、針對印度Wipro公司攻擊活動分析。肯定有老哥等不及了。工具ScreenConnect和Powerkatz。
  • 網絡威脅情報與美國國防工業基地
    網絡殺傷鏈(CKC)– CKC由洛克希德·馬丁公司(Lockheed Martin)在2011年開發,是最流行的攻擊者威脅模型,用於描述「黑客」網絡攻擊的各個階段。它分為七個階段,是大多數攻擊組織的威脅情報基礎。信息共享和分析中心(ISAC)– ISAC是用於交換網絡威脅情報和促進網絡安全協作的非營利社區。ISAC是IoC和APT信息的絕佳來源。
  • 全球高級持續性威脅(APT)2018年總結報告
    一、 數量和來源360威脅情報中心在2018年監測到的高級持續性威脅相關公開報告總共478篇,其中下半年報告披露的頻次和數量明顯高於上半年。披露時間披露來源概述2018.8.15360360高級威脅應對團隊披露了疑似該組織模仿開源交易軟體「Qt  Bitcoin Trader」開發了一款名為「Celas  Trade Pro
  • RITA:一款功能強大的真實情報威脅分析工具
    工具介紹RITA是一款專門針對網絡流量分析與測試人員的開源框架,廣大研究人員可以利用RITA來對收集到的安全威脅情報進行深度分析。
  • FireEye發布用於威脅情報分析的虛擬機工具
    近日,著名安全廠商火眼發布了一款用於威脅情報分析的虛擬機,事實上就是將大量分析需要使用的工具集成在一個windows系統中,並將安裝腳本發布到了
  • 【補】今日威脅情報2020/4/8-9(第246期)
    這只是在很短的時間內發生的攻擊的一小部分https://www.fireeye.com/blog/threat-research/2020/04/limited-shifts-in-cyber-threat-landscape-driven-by-covid-19
  • 如何使用免費的威脅情報源建設SIEM
    它可以幫助我們提取、分析和管理那些來自文本文件的信息,並在不需要任何人工交互的情況下對數據進行動態標記和報警,這將幫助我們預先收到已知威脅的安全警報。如果你之前沒有接觸過SIEM的話,建議大家先看看這些開源的SIEM平臺【傳送門】。
  • 今日威脅情報(2019/4/17)
    工具、樣本、戰術戰法和溯源追蹤方式方法以及國際國內關於威脅情報等相關方面採集。APT活動1、火眼發布威脅研究報告,圍繞烏克蘭大選中的網路威脅活動分析。敵對政權的惡意活動,推薦看原文!https://www.fireeye.com/blog/threat-research/2019/04/spear-phishing-campaign-targets-ukraine-government.html2、360(奇安信)威脅情報中心發布肚腦蟲團夥利用新特種安卓木馬StealJob的攻擊分析。
  • 瑞典首都斯德哥爾摩受到恐怖威脅,議會和政府辦公室分別收到威脅郵件
    人民網斯德哥爾摩11月17日電(記者 李玫憶)當地時間16日,瑞典議會和政府辦公室分別收到威脅郵件,稱他們在第二天有可能受到猛烈的攻擊,威脅涉及到所有政黨辦公室和議會政府行政大樓。議會辦公室新聞官布迪爾·松登證實了此消息的真實性,他在接受當地媒體採訪時說:「今天收到了一封針對政府部門的恐怖威脅郵件。其實安全警察今天剛剛遞交的一份安全報告,其中便提到了恐怖襲擊。檢查並且評估是否需要採取特別措施以針對恐怖襲擊是安全警察的任務。」事實上,在巴黎恐怖襲擊案發生後,瑞典社交媒體上就出現對恐怖分子表示支持的言論。
  • 每周高級威脅情報解讀(2021.07.29~08.05)
    近日,奇安信威脅情報中心紅雨滴在日常的威脅狩獵發現,Transparent Tribe近期針對南亞地區的攻擊活動主要以國防部會議、軍事材料等為主題。根據紅雨滴研究人員跟蹤分析發現此次攻擊活動中,攻擊者利用此前披露的透明部落組織類似攻擊手法,即通過帶惡意宏的文檔最終釋放CrimsonRAT執行。
  • 威脅情報日報(2019.10.22)
    今天值得關注的威脅情報1.
  • KuAI平臺 | 模型在線推理系統的高可用設計
    針對具體的任務,訓練得到模型後,需要將其封裝、部署上線,提供在線推理服務,解決實際業務問題。② 基於開源Kubernetes技術和自研插件,構建Kubernetes集群,對CPU異構集群、GPU異構集群、Ceph/HDFS存儲服務等基礎資源進行隔離和合理的分配、調度,為模型服務提供高可用的運行時環境,將計算節點集群化,提供全系統容災保障,無需擔心單點故障。
  • 每周高級威脅情報解讀(2020.10.29~11.05)
    近日奇安信威脅情報中心紅雨滴團隊在日常高級威脅狩獵中,捕獲東北亞地區的Kimsuky APT組織以美國大選為誘餌的攻擊樣本,該樣本以美國總統大選預測為標題,誘導受害者點擊執行,同時採用在HWP文檔中嵌入VBS腳本方式,有效的繞過殺軟檢測,該樣本在首次上傳到VirusTotal時,沒有殺軟檢測到其惡意代碼。
  • 一種模型驅動的關係資料庫知識圖譜構建方法
    關係資料庫是構建垂直領域知識圖譜的主要數據源之一。如何建立關係資料庫中概念與知識圖譜中相應概念之間的映射關係,是提高垂直領域知識圖譜構建效率的關鍵。針對這一問題,本文提出了一種基於模型驅動體系結構(MDA)的從關係資料庫中自動構造知識圖譜的模型驅動方法。首先,提出了一個模型驅動的框架,用標準XML模式描述關係資料庫和知識圖譜。
  • ADS射頻微波元器件模型庫的構建
    本文針對不同類型器件,提出了基於原理圖模型、行為級模型以及測試模型,建立射頻微波模型庫。其中,使用基於測試結果的X參數能夠成功對放大模塊、檢波器、混頻器等非線性器件進行有效建模。統一的射頻元器件模型平臺將使現有的元器件參數電子化,同時便於加入新元器件的設計電路或測試結果等,能夠保障射頻系統設計的有效開展。
  • 每周高級威脅情報解讀(2021.06.24~07.01)
    ,通過對樣本進行溯源分析發現該樣本疑似Hades組織針對烏克蘭的又一次攻擊行動。/相關信息:近日,Yoroi研究人員披露了一起針對歐洲地區的大規模攻擊活動,攻擊者利用serverless技術繞過傳統安全防禦,此次攻擊活動被命名為「WayBack Campaign」,該活動可能與名為Gorgon/Subaat的威脅組織有關。
  • 每周高級威脅情報解讀(2021.12.02~12.09)
    攻擊團夥情報Nobelium針對美國、英國和歐洲的網絡釣魚活動披露Nobelium使用Ceeloader惡意軟體進行攻擊ANSSI稱Nobelium自今年2月開始針對法國SideCopy使用新型RAT 針對南亞國家攻擊行動或事件情報