Como usar Ataque Análise da Árvore de se preparar para um corte de Ética

análise da árvore de ataque é o processo de criação de um mapeamento de tipo fluxograma de como ataques maliciosos seria atacar um sistema. árvores de ataque são normalmente utilizados em análises de risco de informações de nível superior e das equipes de desenvolvimento de segurança-entendido quando se planeja um novo projeto de software.

Se você realmente quiser ter o seu hacking ético para o próximo nível, planejando cuidadosamente seus ataques, trabalhando muito metodicamente, e sendo mais profissional para arrancar, então a análise de árvore de ataque é apenas a ferramenta que você precisa.

O único inconveniente é que as árvores de ataque podem levar um tempo considerável para tirar e exigem uma quantidade razoável de especialização. Por que suar, porém, quando você pode usar um computador para fazer um monte de trabalho para você? Uma ferramenta comercial chamado SecurISTOree, por Amenaza Technologies Limited, especializada em análise de árvore de ataque e você pode considerar adicionando-a a sua caixa de ferramentas.

A avaliação de risco de segurança anterior, teste de vulnerabilidade, ou análise de impacto nos negócios já pode ter gerado respostas às questões anteriores. Se assim for, que a documentação pode ajudar a identificar os sistemas para testes adicionais. Falha Modos e Análise de Efeitos (FMEA) é outra opção.

hacking ético vai alguns passos mais profundos do que as avaliações de risco informações de nível superior e avaliações de vulnerabilidade. Como um hacker ético, muitas vezes você começar recolhendo informações sobre todos os sistemas - incluindo a organização como um todo - e, em seguida, avaliar ainda mais os sistemas mais vulneráveis. Mas, de novo, este processo é flexível.

Outro fator que vai ajudar você a decidir por onde começar é avaliar os sistemas que têm maior visibilidade. Por exemplo, concentrando-se em um servidor de banco de dados ou arquivo que armazena cliente ou outras informações críticas pode fazer mais sentido - pelo menos inicialmente - de se concentrarem em um firewall ou servidor web que hospeda informações de marketing sobre a empresa.

menu