Computerbeveiliging - Hoe je bad guys buiten de deur houdt

attack tree

11-10-2018, 12:53 door Anoniem, 17 reacties
Wie van jullie heeft een attack tree(tree van alle mogelijk bedreigingen die in je systeem zit) gemaakt en hoe ziet deze eruit?
Reacties (17)
11-10-2018, 13:52 door Anoniem
Door Anoniem: Wie van jullie heeft een attack tree(tree van alle mogelijk bedreigingen die in je systeem zit) gemaakt en hoe ziet deze eruit?
Als een boom structuur?
11-10-2018, 14:10 door beatnix
pfff nog niet geprobeerd en ook niet van plan gekregen te zijn, die attack mogelijkheden zijn zo dynamisch dat je tree zo snel outdated is dat het eerder een bult werk is die weinig zin maakt.
11-10-2018, 15:28 door Anoniem
Door Anoniem:
Door Anoniem: Wie van jullie heeft een attack tree(tree van alle mogelijk bedreigingen die in je systeem zit) gemaakt en hoe ziet deze eruit?
Als een boom structuur?

Als een omgekeerd blokdiagram, dat de routes van de mogelijke aanval pogingen en de verdediging daar tegen illustreert.

https://en.wikipedia.org/wiki/Attack_tree
11-10-2018, 16:01 door Anoniem
Attack tree is afhankelijk van je eigen risico analyses. Niet iedereen heeft te maken met dezelfde bedreigingen.
11-10-2018, 16:23 door Anoniem
Security trees worden alleen gemaakt door mensen die echt verstand van security hebben. Ik heb eentje gemaakt maar kan deze natuurlijk niet posten anders geeft ik bloot welke kwetsbaarheden er bij mijn werkgever aanwezig is.

Het wordt voor verschillende dingen gebruikt maar zon tree maakt het inzichtelijk welke bedreigingen reel zijn.
11-10-2018, 16:50 door _roel
https://attack.mitre.org/wiki/Main_Page

Voila mooie site
12-10-2018, 00:05 door beatnix
Door Anoniem: Security trees worden alleen gemaakt door mensen die echt verstand van security hebben. Ik heb eentje gemaakt maar kan deze natuurlijk niet posten anders geeft ik bloot welke kwetsbaarheden er bij mijn werkgever aanwezig is.

Het wordt voor verschillende dingen gebruikt maar zon tree maakt het inzichtelijk welke bedreigingen reel zijn.

Waar heb jij die onzin geleerd? Bij het halen van een soort master degree waar verstand van security een handtekening onder een diploma genoemd wordt? Jij zou beter je mond eens gaan spoelen. wat je aan 'attack tree' krijgt te maken, daar zal ik je niet op aanvallen, maar zeggen dat iedereen die het niet doet geen verstand van security gekregen heeft? wie heeft jou zo'n naprater gemaakt, in welk boek heb je dat gelezen of is conditioneren bij certificering tegenwoordig belangrijker dan verstand onder noemer verstand? nogmaals, beter zou jij je mond eens spoelen.
12-10-2018, 06:43 door Anoniem
Door Anoniem: Security trees worden alleen gemaakt door mensen die echt verstand van security hebben. Ik heb eentje gemaakt maar kan deze natuurlijk niet posten anders geeft ik bloot welke kwetsbaarheden er bij mijn werkgever aanwezig is.

Aha, Security by Obscurity, dan moet je je plan nog eens tegen het licht houden. :)
12-10-2018, 07:46 door Anoniem
Door beatnix:
Door Anoniem: Security trees worden alleen gemaakt door mensen die echt verstand van security hebben. Ik heb eentje gemaakt maar kan deze natuurlijk niet posten anders geeft ik bloot welke kwetsbaarheden er bij mijn werkgever aanwezig is.

Het wordt voor verschillende dingen gebruikt maar zon tree maakt het inzichtelijk welke bedreigingen reel zijn.

Waar heb jij die onzin geleerd? Bij het halen van een soort master degree waar verstand van security een handtekening onder een diploma genoemd wordt? Jij zou beter je mond eens gaan spoelen. wat je aan 'attack tree' krijgt te maken, daar zal ik je niet op aanvallen, maar zeggen dat iedereen die het niet doet geen verstand van security gekregen heeft? wie heeft jou zo'n naprater gemaakt, in welk boek heb je dat gelezen of is conditioneren bij certificering tegenwoordig belangrijker dan verstand onder noemer verstand? nogmaals, beter zou jij je mond eens spoelen.

Ik heb inderdaad een master degree behaald, maar vind wel dat je disrespectvol met mensen omgaat want heb vaker posts van jou over andere mensen gelezen.
Ook onderbouw je dingen nooit iets wat je bij een leert te doen bij een master degree is beargumenteren.
Elke serieuze security expert heeft een soort vergelijkbaars als een attack tree gemaakt.
Heb jij er eentje gemaakt? Of ben jij zo goed dat jij jouw attack tree ongedocumenteerd met iedereen die jij binnen een bedrijf (als jij bij een bedrijf security mag doen (betwijfel het)) moet doorcommuniceren met anderen.
Ik bedoel niet dat de attack tree de standaard is, maar risico analyse/taxatie, ja iedere serieuze expert heeft er 1.
12-10-2018, 11:15 door Anoniem
En hoe zit het dan met extra hidden hardware layers op centrale routers en hoe zit het dan met legale toegang van hack pogingen van de overheid. Dan verschuift het risico aardig zou ik zeggen.

Alsof je huis beveiligd en ze via het riool binnen komen en je weet nooit welke deur ze achter in het riool hebben openstaan.
12-10-2018, 12:32 door Anoniem
Door Anoniem: En hoe zit het dan met extra hidden hardware layers op centrale routers en hoe zit het dan met legale toegang van hack pogingen van de overheid. Dan verschuift het risico aardig zou ik zeggen.

Alsof je huis beveiligd en ze via het riool binnen komen en je weet nooit welke deur ze achter in het riool hebben openstaan.
Indien dit een bedreiging voor jouw infrastructuur vormt dan dien je dit op te nemen in je attack tree.
Je hebt het over zero-days neem ik aan?

Je moet zelf kwetsbaarheden identificeren en tegenmaatregelen nemen als zero-days echt een risico voor je zijn (succes met de enorme werkbelasting als dit het geval is)
13-10-2018, 07:59 door beatnix
knaapje met je zogenaamde master degree, jij hebt wel heel weinig verstand van security gekregen als je denkt dat dat valt of staat op een 'attack tree' met je denigrerende en beledigende gekwebbel dat 'alle professionals zon tree zouden moeten maken'.

daarbij heb je namelijk met master degree en al weinig verstand van lezen gekregen ook nog, want het is waar dat ik nogal eens wat grover dan behoorlijk is door de bocht mag krijgen te komen, maar niet zomaar zonder reden.

dat betekend als jij niet zwamt dat 'alle professionals een attack tree zouden maken', mag ik je wat vriendelijker antwoord krijgen te geven..

ik onderbouw namelijk veel meer dan gemiddeld hier, nota bene onbetaald, en dat valt jou met master degree niet op? of dacht je dat ik op sommige vragen niet gewoon in één regel antwoord mag krijgen te geven als dat toereikend is omdat het schrijven op het forum hier niet een scriptie schrijven is, bij dat laatste is bronvermelding etc wat meer gebruikelijk, hier is dat vaak niet nodig.

waarom ik geen attack tree mocht krijgen te maken? omdat niet iedere serieuze expert er 1 nodig heeft. daarom.

de maatschappij heeft tal van zeer wel onderlegde security experts gekregen die de beveiliging van het netwerk vereenvoudigen naar 'geen attack tree nodig' en die weigeren dat ook vaker dan je denkt wanneer een ceo of aandeelhoudersvergadering er om loopt te bleren, worden namelijk niet om onzin betaald.

wil niet zeggen dat een attack tree nooit bruikbaar is (mocht ik dus ook niet zo bedoelen en dat is in principe ook af te leiden uit reacties), maar meestal is je netwerkbeheer meer gecompliceerd (en dus vulnerable) dan nodig is wanneer je een attack tree nodig hebt (met andere woorden: een soep van software vermenging omdat management niet kan/wil kiezen tussen twee of meer pakketten), zelfs bij hele grote organisaties die tot en met op vlak van vertikale en diagnale markten zich toonaangevend krijgen te profileren.

zo, 'master degree', wie heeft jou je bul uitgereikt? ben jij een van die zogenaamd 'slimme masterdegrees' die al napratend een security schrijfsel van gonrijp, schneier of wie dan ook geleerd heeft aan te halen bij gebrek aan antwoord?

en noem jezelf niet zo 'goed', ga je er ook niet vanuit dat anderen dat zouden doen.

ja ik mag direct antwoord krijgen te geven, en niet zonder reden hoewel ik mag krijgen te leren wat meer behoorlijk te zijn, hoewel dat eerder tijd en geld kost dan dat het iets oplevert, vaak, omdat mensen zo liever feiten willen overwegen.

rare wereld vind je niet, dat hoe feiten eruit zien belangrijker zou zijn dat waar de feiten over gaan, vaak onder noemer 'master degree' of niet 'master degree' en weet jij trouwens hoe veel problemen nu door 'master degrees' erkend worden als vervuiling van wetenschappelijke discussie onder noemer 'master degree'?

veslik je aub niet in de grenzen/feiten omtrent 'attack tree', 'master degree' het zou zo jammer zijn als gemeenschapsgeld zou zijn weggegooid met jou te laten studeren.
13-10-2018, 10:25 door Tha Cleaner
Door Anoniem:
Ik heb inderdaad een master degree behaald, maar vind wel dat je disrespectvol met mensen omgaat want heb vaker posts van jou over andere mensen gelezen.
Sorry.... Maar en anoniem die hoog uit de boom even komt zeggen dat hij een master heeft en zulke opmerkingen maakt... Dan maak ik mij toch echt zorgen om de kwaliteit van het onderwijs. Je bewijst in ieder geval dat je de theorie geleerd hebt, maar de praktijk eigenlijk niet snapt, maar wel even iedereen de les komt lezen. Beatnix is juist een hele goede op security.nl en levert kwalitatief zeer goede punten. Iets waar jij met je master degree nog wat van kan leren.

Want je mag misschien de theorie gehaald hebben, je communicatie skills waren blijkbaar geen onderdeel van je master degree.

Ook onderbouw je dingen nooit iets wat je bij een leert te doen bij een master degree is beargumenteren.
?
Elke serieuze security expert heeft een soort vergelijkbaars als een attack tree gemaakt.
op school bedoel je? Je komt hier even over als iemand die net school heeft verlaten, en iedereen met jaren ervaring even de les komt lezen.

Een AttackTree Het kan zeker gebruikt worden, maar meestal is dit een zeer statisch documentje en het verschil tussen de theorie en praktijk is vaak net even iets anders.
13-10-2018, 18:46 door Anoniem
Door beatnix: knaapje met je zogenaamde master degree, jij hebt wel heel weinig verstand van security gekregen als je denkt dat dat valt of staat op een 'attack tree' met je denigrerende en beledigende gekwebbel dat 'alle professionals zon tree zouden moeten maken'.


veslik je aub niet in de grenzen/feiten omtrent 'attack tree', 'master degree' het zou zo jammer zijn als gemeenschapsgeld zou zijn weggegooid met jou te laten studeren.


Bow for the Masters of Science..... en nog een feestje voor de Bachelors.... weten alles beter, krijgen de beste banen. Universiteiten zijn linkse indoctrinatiekampen. Herhalen is belangrijk, nadenken is verfoeilijk. Policor en sociale druk (nette uitdrukking voor kuddegedrag) zorgen ervoor dat alleen mensen op niveau worden binnengehaald. Waarom denk je dat 2/3 van de Europeanen 'opeens' denken dat ze zonder Europa kunnen? En moeten deze linkse elite ons beschermen tegen de Russische dreiging? Met de 'weg met ons' mentaliteit moeten ze straks (volgend jaar?) direct face-to-face engagen in combat. Het nadeel van herhaling is dat een wereld van orde gebaseerd op repetities (uni-achtigen) zo snel kan vallen als het Roomse rijk onder de laatste Caesar... de vijand is assymetrisch, diagonaal en houdt zich niet aan de regels. Daarbij heeft men hier ook de burger als vijand verklaart en zodra die zich ermee gaan bemoeien komt het mogelijk tot een uitbarsting van creativiteit. De huidige wereldorde hier is alleen gebaseerd op controle en een regime om de oude grijze mannetjes koste wat kost droog en smetvrij te houden, waarbij onze kinderen opgeofferd worden.
23-10-2018, 09:09 door Anoniem
Door Anoniem:
Bow for the Masters of Science..... en nog een feestje voor de Bachelors.... weten alles beter, krijgen de beste banen. Universiteiten zijn linkse indoctrinatiekampen. Herhalen is belangrijk, nadenken is verfoeilijk. Policor en sociale druk (nette uitdrukking voor kuddegedrag) zorgen ervoor dat alleen mensen op niveau worden binnengehaald. Waarom denk je dat 2/3 van de Europeanen 'opeens' denken dat ze zonder Europa kunnen? En moeten deze linkse elite ons beschermen tegen de Russische dreiging? Met de 'weg met ons' mentaliteit moeten ze straks (volgend jaar?) direct face-to-face engagen in combat. Het nadeel van herhaling is dat een wereld van orde gebaseerd op repetities (uni-achtigen) zo snel kan vallen als het Roomse rijk onder de laatste Caesar... de vijand is assymetrisch, diagonaal en houdt zich niet aan de regels. Daarbij heeft men hier ook de burger als vijand verklaart en zodra die zich ermee gaan bemoeien komt het mogelijk tot een uitbarsting van creativiteit. De huidige wereldorde hier is alleen gebaseerd op controle en een regime om de oude grijze mannetjes koste wat kost droog en smetvrij te houden, waarbij onze kinderen opgeofferd worden.

Ik heb op het mbo, hbo en universiteit gestudeerd, ik moet eerlijk zeggen dat ik op de mbo en hbo meer geleerd heb dan op de universiteit maar de universiteit staat leuk op mijn CV.
Het beste in ICT wordt je door dingen uit te proberen en nieuwsgierig erin te zijn er je erin te verdiepen.
Wel denk ik als je je bezig houdt met onderwerpen zoals cryptographie en andere wiskundige ge-relateerde onderwerpen meebezig houdt dat een academische background je er beter bij zou helpen.
23-10-2018, 09:51 door Anoniem
Een attack tree is handig als je bedreigingen in kaart wilt brengen om je vervolgens er tegen te beschermen omdat je je niet tegen alles volledig kan beschermen want beveiliging kost geld, moet je afwegen waar jij je tegen gaat beschermen op basis van realistische bedreigingen tegen jouw infrastructuur.
23-10-2018, 10:12 door -karma4 - Bijgewerkt: 23-10-2018, 10:12
Door Anoniem:
Door Anoniem: <gefrusteerde en beetje enge anti-intellectuelen-praat>

Ik heb op het mbo, hbo en universiteit gestudeerd, ik moet eerlijk zeggen dat ik op de mbo en hbo meer geleerd heb dan op de universiteit maar de universiteit staat leuk op mijn CV.
Het beste in ICT wordt je door dingen uit te proberen en nieuwsgierig erin te zijn er je erin te verdiepen.

Niet dat nieuwsgierigheid en zelf dingen oppikken slechte zaken zijn. Maar ik kan me voorstellen dat je dat beeld krijgt als je na mbo en hbo op de universiteit gaat studeren maar daarna op mbo/hbo-niveau blijft werken in de ambachtelijke ICT.

Door Anoniem: Wel denk ik als je je bezig houdt met onderwerpen zoals cryptographie en andere wiskundige ge-relateerde onderwerpen meebezig houdt dat een academische background je er beter bij zou helpen.

Zou je denken? (Open deur dit.)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.