Video: Hvordan man bruger en slibesten - Cibumic 2025
Attack tree analysis er processen med at oprette en flowchart-type kortlægning af, hvordan ondsindede angribere ville angribe et system. Attack træer bruges typisk i højere niveau informationsrisikoanalyser og af sikkerhedsbevidste udviklingshold, når man planlægger et nyt softwareprojekt.
Hvis du virkelig ønsker at tage din etiske hacking til næste niveau ved at planlægge dine angreb grundigt, arbejde meget metodisk og være mere professionel at starte, så er angreb træanalyse bare det værktøj, du har brug for.
Den eneste ulempe er, at angrebstræer kan tage lang tid at tegne og kræve en hel del ekspertise. Hvorfor sveder det dog, når du kan bruge en computer til at gøre meget af arbejdet for dig? Et kommercielt værktøj kaldet Secur IT ree, af Amenaza Technologies Limited, specialiserer sig i angrebstræ analyse, og du kan overveje at tilføje det til din værktøjskasse.
En tidligere sikkerhedsrisikovurdering, sårbarhedsprøve eller analyse af forretningsmæssige konsekvenser kan allerede have genereret svar på de foregående spørgsmål. Hvis det er tilfældet, kan dokumentationen hjælpe med at identificere systemer til yderligere test. Failure Modes and Effects Analysis (FMEA) er en anden mulighed.
Etisk hacking går et par skridt dybere end højere grad af informationsrisikovurderinger og sårbarhedsvurderinger. Som en etisk hacker begynder du ofte at samle oplysninger om alle systemer - herunder organisationen som helhed - og derefter yderligere vurdere de mest sårbare systemer. Men igen er denne proces fleksibel.
En anden faktor, der hjælper dig med at bestemme, hvor du skal starte, er at vurdere de systemer, der har størst synlighed. Fokus på en database eller en filserver, der lagrer klient eller anden kritisk information, kan f.eks. Være mere fornuftigt - i hvert fald oprindeligt - end at koncentrere sig om en firewall eller webserver, der er vært for markedsføringsoplysninger om virksomheden.
