Salve a tutti, è la prima volte che scrivo ma vi seguo già da qualche settimana. Senza perdermi in chiacchiere vi espongo subito il mio quesito. Mi trovo a raccogliere informazioni su Attack Trees\Graphs per decidere e organizzare quella che sarà la mia tesi universitaria. L'argomento mi ha interessato fin da subito ma adesso non riesco a capire bene in che modo queste formalizzazioni vengano usati in contesti reali. Ho letto diversi paper che espongono l'argomento riportando diversi casi di studio, ad esempio questo: http://pages.cs.wisc.edu/~jha/jha-papers/security/CSFW_2002_1.pdf
dove lo strumento di creazione del grafo si avvale di database di vulnerabilità già note come il CVE. La domanda mi sorge spontanea: se mi trovo in un'infrastruttura in cui i sistemi sono stati aggiornati e quindi non ci sono vulnerabilità note nel CVE? Mi sono poi imbattuto in questa pagina di Bruce Shneier: http://www.schneier.com/paper-attacktrees-ddj-ft.html dalla quale capisco che l'approccio è quello di creare un albero con i possibili attacchi al sistema, senza però focalizzarsi su una vulnerabilità specifica ma rimanere più sull'astratto. Fatto questo bisogna verificare se vale la pena di prendere delle contromisure e se effettivamente gli attacchi risultano praticabile, il che conduce in maniera naturale a fare pentest. Ho quindi le idee un po' confuse su come queste rappresentazioni debbano essere usate in modo che siano effettivamente utili e se vengano realmente utilizzate in contesti aziendali. ------------------------------ Federico De Meo
signature.asc
Description: Message signed with OpenPGP using GPGMail
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
