Comment utiliser l'analyse de l'arbre d'attaque pour se préparer à un piratage éthique

Analyse de l'arbre d'attaque est le processus de création d'une cartographie de type organigramme de la façon dont les attaquants malveillants allaient attaquer un système. Arbres d'attaque sont généralement utilisés dans les analyses de risque de l'information de plus haut niveau et par les équipes de développement à la sécurité avertis lors de la planification d'un nouveau projet de logiciel.

Si vous voulez vraiment prendre votre piratage éthique au niveau suivant en planifiant soigneusement vos attaques, travailler très méthodiquement, et d'être plus professionnel pour démarrer, puis analyse de l'arbre d'attaque est juste l'outil dont vous avez besoin.




Le seul inconvénient est que les arbres d'attaque peuvent prendre beaucoup de temps pour en tirer et nécessitent une bonne quantité d'expertise. Pourquoi transpirer, cependant, lorsque vous pouvez utiliser un ordinateur pour faire beaucoup de travail pour vous? Un outil commercial appelé SecurCEree, par Amenaza Technologies Limited, spécialisée dans l'analyse de l'arbre d'attaque, et vous pouvez envisager d'ajouter à votre boîte à outils.

Une précédente évaluation des risques de sécurité, test de vulnérabilité, ou l'analyse de l'impact de l'entreprise peuvent avoir déjà généré des réponses aux questions précédentes. Si oui, que la documentation peut aider à identifier les systèmes pour des tests supplémentaires. Des modes de défaillance et analyse des effets (FMEA) est une autre option.

Ethical Hacking fait quelques pas plus profondes que les évaluations des risques de l'information de niveau supérieur et des évaluations de la vulnérabilité. Comme un hacker éthique, vous commencez souvent en glanant des informations sur tous les systèmes - y compris l'organisation dans son ensemble - et ensuite d'évaluer davantage les systèmes les plus vulnérables. Mais encore une fois, ce processus est flexible.

Un autre facteur qui vous aidera à décider par où commencer est d'évaluer les systèmes qui ont la plus grande visibilité. Par exemple, en se concentrant sur un serveur de base de données ou fichier qui stocke client ou d'autres informations critiques peuvent faire plus de sens - du moins au début - que de se concentrer sur un serveur de pare-feu ou Web qui héberge des informations commerciales sur la société.


» » » » Comment utiliser l'analyse de l'arbre d'attaque pour se préparer à un piratage éthique