On 25/04/12 11.30, Federico De Meo wrote: > Mi sono poi imbattuto in questa pagina di Bruce Shneier: > http://www.schneier.com/paper-attacktrees-ddj-ft.html > > dalla quale capisco che l'approccio è quello di creare un albero con i > possibili attacchi > al sistema, senza però focalizzarsi su una vulnerabilità specifica ma > rimanere più > sull'astratto. Fatto questo bisogna verificare se vale la pena di prendere > delle contromisure > e se effettivamente gli attacchi risultano praticabile, il che conduce in > maniera naturale a > fare pentest.
come spesso accade, Schneier solleva impietoso il velo di ipocrisia e sostanziale immobilismo dell'ICT Security odierno. A voler essere velenosi, il suo sembra l'unico approccio sensato, laddove focalizzarsi su categorizzazioni statiche come CVE sembri servire solo a formalizzazioni/tesi/whitepaperfuffosi. > Ho quindi le idee un po' confuse su come queste rappresentazioni debbano > essere usate > in modo che siano effettivamente utili e se vengano realmente utilizzate in > contesti aziendali. mi sono occupato spesso di attack trees, modello Schneier, negli ultimi anni. Sono usati in azienda? Ni. Molti manager che ho conosciuto lavorativamente si interessano a questo approccio. In pochi casi lo ritengono utile. In pochissimi riescono ad implementarlo. Perchè? Perchè vuolsi così colà ove si puote ciò che si vuole. Sicurezza oggi è Nessus/alternativacommerciale + CVE + patch + bandierine verde/gialla/rossa + bollino da presentare in alto man mano che l'organigramma si restringe. Procedure. Carta. Contratti. Voglio dire, anche qui nessuno ha risposto. Anche io mi sono perso il tuo messaggio, forse il cervello non ha creduto a quanto gli occhi gli abbiano trasmesso :-p Sono utili questi diagrammi? Diavolo, si! Dal mio punto personale di vista non li sto utilizzando preventivamente, ma come ausilio visuale ai report di assessment e pentration test vari. Nelle mie slide c'è sempre da qualche parte un derivato degli attack tree di Schneier quando descrivo come i vettori di attacco possano originare da superfici disomogenee che agli occhi di un v.a. automatizzato presentino solo vuln di grado low. Se ancora ti interessa e non ti sei scoraggiato scrivimi pure. -- [:: FuSyS pub 1024D/B8FC37F9 2002-09-03 <[email protected]> YES. It seems today I don't have anything better to do. Go figure.::] ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
