Domande con tag 'threat-modeling'

1
risposta

Quali sono alcuni attacchi da considerare in una distribuzione cloud? [duplicare]

Voglio discutere il seguente scenario: Uso un fornitore di servizi cloud come Amazon, in cui ogni istanza del sistema operativo è una VM. L'hypervisor avvia le VM come necessario. Quindi supponiamo che ci siano due macchine virtuali in esec...
posta 04.10.2018 - 19:48
1
risposta

Relazione tra analisi delle minacce e modellazione degli attacchi

Quale potrebbe essere la relazione tra analisi delle minacce e modellazione degli attacchi. Entrambi sono molto vicini, hanno prospettive diverse ma ho bisogno di conoscere le relazioni o, in altre parole, come possono essere integrati in un'...
posta 21.04.2018 - 23:03
0
risposte

sviluppo di una metrica per la prioritizzazione dei pattern di attacco basati su un database per i pattern di attacco (CAPEC) [closed]

Ho dati sui pattern di attacco che hanno vari attributi come severity of attack, skill attackers, attack likelihood tutti sotto forma di valori linguistici come high, medium e low. Voglio sviluppare una metrica per dare la priorità a questi sche...
posta 02.01.2018 - 08:41
1
risposta

Quando modellare un concetto tramite oggetto vs tassonomia vs galassia in MISP?

Le tassonomie in MISP sono un triplo di (namespace, predicate, value) riferito a "machinetags". Le galassie sembrano essere simili. I documenti della galassia MISP affermano che MISP galaxy is a simple method to express a large obje...
posta 03.04.2018 - 23:18
0
risposte

Strumento Microsoft Threat Modeling: come evitare lo spoofing di Data Store di destinazione

Ho un modello di minaccia con un'entità di Cloud Storage e un'applicazione gestita che vi accede. Ecco il diagramma: LoStrumentoperlamodellazionediminacceMicrosoftriportanelrapportoche:CloudStoragemaybespoofedbyanattackerandthismayleadtodata...
posta 23.03.2017 - 15:22
0
risposte

SeaSponge Report Generation

Sto provando SeaSponge , uno strumento di modellazione delle minacce sviluppato di recente che sembra interessante. La voce è abbastanza simile allo SDL Threat Modeling Tool di Microsoft. Tuttavia quando faccio clic su "Rapporti" in alto a d...
posta 16.05.2016 - 14:41
0
risposte

Identificazione della ricognizione nel web

Recentemente ho implementato il modulo mod_security nel mio server Web Apache. So che le regole OWASP CRS includono tag per categorizzare gli attacchi, ma voglio creare categorie di livello superiore, in particolare per identificare la ricognizi...
posta 12.04.2016 - 06:37
0
risposte

Modelli di modello di sicurezza delle informazioni e ciclo di vita

Il modello NSM di sans.org è neutrale rispetto al venditore, ciò è positivo, ma ho bisogno di un modello più dettagliato e di complessità. Non voglio inventare una bicicletta e cercare una soluzione completa in questo campo. Certo non è un artic...
posta 15.02.2016 - 13:16
2
risposte

Malware per testare [duplicato]

Esistono siti Web e luoghi in cui è possibile scaricare tutti i tipi di malware che è possibile eseguire e testare l'impostazione di sicurezza del sistema? Al momento sto giocando con UAC + EMET4 + MSE e vorrei vedere quanto bene il sistema...
posta 08.08.2013 - 17:39
5
risposte

Qual è il modo ideale per memorizzare le password?

Mi sto chiedendo cosa dovrei fare con le mie password. Ho suddiviso i conti in base all'importanza in due gruppi: a) il primo di account come questo di cui sto scrivendo. Li ho impostati per scrivere alcuni post nei forum. Fondamentalmente...
posta 02.12.2017 - 21:25