ПОРІВНЯЛЬНИЙ АНАЛІЗ ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ ДЛЯ МОДЕЛЮВАННЯ ЗАГРОЗ
COMPARATIVE ANALYSIS OF THREAT MODELING SOFTWARE
Сторінки: 218-223. Номер: №4, 2023 (323)
Автори:
ПОКОТИЛО ОЛЕКСАНДРА
Державний університет «Житомирська політехніка»
ORCID ID: 0000-0002-1587-235X
e-mail: kik_poa@ztu.edu.ua
БАЙЛЮК ЄЛІЗАВЕТА
Державний університет «Житомирська політехніка»
ORCID ID: 0000-0002-4961-7816
e-mail: liza.bailiuk@gmail.com
ЩУР НАТАЛІЯ
Державний університет «Житомирська політехніка»
ORCID ID: 0000-0002-1182-4799
e-mail: thalitana@ztu.edu.ua
POKOTYLO OLEKSANDRA, BAILIUK YELYZAVETA, SHCHUR NATALIIA
Zhytomyr Polytechnic National University
DOI: https://www.doi.org/10.31891/2307-5732-2023-323-4-218-223
Анотація мовою мовою оригіналу
У статті наводяться результати аналізу програмного забезпечення для моделювання загроз, зокрема розглянуто найпопулярніші інструменти Microsoft Threat Modeling Tool, OWASP Threat Dragon, ThreatModeler, IriusRisk та SecuriCAD. Визначено їх основні функції, можливості та обмеження, продемонстровано загальний
вигляд побудованих моделей. На основі проведеного аналізу складено таблицю з результатами порівняння розглянутих програмних засобів згідно критеріїв, які найчастіше враховуються при виборі засобів для моделювання загроз. Використовуючи отримані результаті та наведену математичну модель, визначено числові
значення наступних показників ефективності для кожної з програм по шкалі від 1 до 5: зручність використання, час моделювання, рівень деталізації, спектр виявлення загроз, рівень підтримки, можливість інтеграції з іншими інструментами.
Ключові слова: метод моделювання, стандарти безпеки, показники ефективності, Microsoft Threat Modeling Tool, OWASP Threat Dragon, ThreatModeler, IriusRisk, SecuriCAD.
Розширена анотація англійською мовою
With the increase in the use of information and communication systems, the probability of cyber attacks, which can cause significant damage, increases. In this regard, their security has become one of the main problems of our time. Therefore, there is an important and urgent problem of using software for modeling and analyzing potential threats. The article presents the results of analysis of threat modeling software, including the most popular tools Microsoft Threat Modeling Tool, OWASP Threat Dragon, ThreatModeler,
IriusRisk and SecuriCAD. Their main functions, capabilities and limitations are defined, the general appearance of the built models is demonstrated. In addition, the modeling process was investigated with further analysis of the results using each of the considered tools. Their effectiveness in identifying and mitigating potential threats was also evaluated. Based on the analysis, a table was compiled with the results of the comparison of the considered software tools according to the criteria that are most often taken into account when choosing tools for threat modeling, in particular, openness of the source code, support for security standards and various platforms, the possibility of
integration with other tools, automatic detection of threats, model visualization, vulnerability analysis, risk assessment and management, planning of security measures, support for joint work with the team, cost. Using the results obtained and the given mathematical model, numerical values of the following performance indicators were determined for each of the programs on a scale from 1 to 5: ease of use, simulation time, level of detail, spectrum of threat detection, level of support, possibility of integration with other tools. The choice of the optimal tool will depend on the level of priority of a specific indicator for the enterprise. The obtained results of the analysis make it possible to simplify the decision-making process of choosing the optimal program, as they clearly demonstrate the advantages and disadvantages of each of them, as well as to increase the effectiveness of the use of software tools for threat modeling thanks to the received evaluations of effectiveness and the identified potential areas of their use.
Keywords: modeling method, security standards, performace indicators, Microsoft Threat Modeling Tool, OWASP Threat
Dragon, ThreatModeler, IriusRisk, SecuriCAD.