Vidéo: Metal Gear 30th - Conference "Voir sans être vu" 2024
L'analyse d'arbre d'attaque est le processus de création d'un mappage de type diagramme sur la façon dont les attaquants malveillants attaqueraient un système. Les arborescences d'attaque sont généralement utilisées dans des analyses de risque d'informations de plus haut niveau et par des équipes de développement expérimentées en matière de sécurité lors de la planification d'un nouveau projet logiciel.
Si vous voulez vraiment pousser votre piratage éthique au niveau suivant en planifiant minutieusement vos attaques, en travaillant très méthodiquement, et en étant plus professionnel pour démarrer, l'analyse des arborescences d'attaque est juste l'outil dont vous avez besoin.
Le seul inconvénient est que les arbres d'attaque peuvent prendre beaucoup de temps à se dégager et nécessitent une bonne quantité d'expertise. Pourquoi transpirer, cependant, quand vous pouvez utiliser un ordinateur pour faire beaucoup de travail pour vous? Un outil commercial appelé Secur IT ree, par Amenaza Technologies Limited, est spécialisé dans l'analyse d'arbre d'attaque, et vous pouvez envisager de l'ajouter à votre boîte à outils.
Une évaluation des risques de sécurité, un test de vulnérabilité ou une analyse d'impact sur les activités ont déjà généré des réponses aux questions précédentes. Si c'est le cas, cette documentation peut aider à identifier les systèmes pour d'autres tests. L'analyse des modes de défaillance et des effets (FMEA) est une autre option.
Le piratage éthique va plus loin que les évaluations des risques d'information et les évaluations de la vulnérabilité. En tant que hacker éthique, vous commencez souvent par glaner des informations sur tous les systèmes - y compris l'organisation dans son ensemble - et ensuite en évaluant les systèmes les plus vulnérables. Mais encore une fois, ce processus est flexible.
Un autre facteur qui vous aidera à décider par où commencer est d'évaluer les systèmes les plus visibles. Par exemple, se concentrer sur une base de données ou un serveur de fichiers qui stocke des informations client ou autres peut être plus logique - du moins au début - que de se concentrer sur un pare-feu ou un serveur Web hébergeant des informations marketing sur l'entreprise.
