Hvordan du bruker angrepstreet analyse for å forberede seg på et etisk hackdummier

Attack tree analysis er prosessen med å lage en flytdiagramtype kartlegging av hvordan ondsinnede angripere ville angripe et system. Attack trær brukes vanligvis i høyere nivå informasjon risiko analyser og av sikkerhetskunnige utviklingsteam når planlegger et nytt programvareprosjekt.

Hvis du virkelig ønsker å ta etisk hacking til neste nivå ved å planlegge angrepene dine, jobber veldig metodisk, og er mer profesjonell til å starte opp, så er angrep av treanalyse bare det verktøyet du trenger.

Den eneste ulempen er at angrepstrær kan ta lang tid å tegne og kreve en hel del kompetanse. Hvorfor svette det, men når du kan bruke en datamaskin til å gjøre mye av arbeidet for deg? Et kommersielt verktøy kalt Secur IT ree, av Amenaza Technologies Limited, spesialiserer seg på angrepstreet analyse, og du kan vurdere å legge det til verktøykassen din.

En tidligere sikkerhetsrisikovurdering, sårbarhetstest eller analyse av virksomhetspåvirkning kan allerede ha generert svar på de foregående spørsmålene. I så fall kan dokumentasjonen hjelpe til med å identifisere systemer for videre testing. Failure Modes and Effects Analysis (FMEA) er et annet alternativ.

Etisk hacking går noen få skritt dypere enn høyere nivåer av risikovurderinger og sårbarhetsvurderinger. Som etisk hacker begynner du ofte å samle informasjon om alle systemer - inkludert organisasjonen som helhet - og deretter vurdere de mest sårbare systemene ytterligere. Men igjen, denne prosessen er fleksibel.

En annen faktor som vil hjelpe deg med å bestemme hvor du skal begynne, er å vurdere systemene som har størst synlighet. Hvis du for eksempel fokuserer på en database eller filserver som lagrer klient eller annen viktig informasjon, kan det være mer fornuftig - minst i utgangspunktet - enn å fokusere på en brannmur eller en webserver som er vert for markedsinformasjon om selskapet.