Notre avis
Construit des arbres d'attaque complets pour visualiser les chemins de menace, identifier les lacunes de défense et communiquer les risques aux parties prenantes.
Points forts
- Décompose systématiquement les scénarios d'attaque complexes en sous-objectifs avec des relations ET/OU.
- Annote les feuilles avec le coût, la compétence, le temps et la détectabilité pour prioriser les risques.
- Mappe les mesures d'atténuation par branche pour identifier les lacunes de défense.
- Facilite la communication des risques avec des visualisations claires.
Limites
- Nécessite une portée et des actifs clairement définis pour être efficace.
- Ne remplace pas une analyse de risque quantitative formelle.
- La qualité dépend de l'expertise de l'analyste en menaces.
Utilisez cet arbre pour visualiser des chemins d'attaque complexes, identifier les lacunes de défense ou planifier des investissements défensifs.
Ne l'utilisez pas si vous manquez d'autorisation ou de portée définie pour modéliser le système, ou si la tâche est une revue de risque générale sans modélisation de chemin d'attaque.
Analyse de sécurité
SûrThe skill describes a purely methodological process (attack tree construction) with no executable commands, no access to system resources, and no dangerous instructions. It includes safety caveats about sharing only with authorized stakeholders, but no actual execution risk.
Aucun point d'attention détecté
Exemples
Build an attack tree for a SaaS web application handling payment data. Root goal: 'Exfiltrate payment card data.' Include sub-goals for SQL injection, XSS, and session hijacking. Annotate leaves with estimated cost and skill level.Create an attack tree for a smart home IoT device. Root goal: 'Remotely control the device without authorization.' Decompose into firmware exploitation, network sniffing, and cloud API abuse. Add mitigations per branch.Generate an attack tree for a multi-cloud environment (AWS + GCP). Root goal: 'Leak data from S3 and GCS buckets.' Break down into misconfiguration exploitation, credential theft, and insider threat. Prioritize paths by detectability.name: Attack Tree Construction description: "Build comprehensive attack trees to visualize threat paths. Use when mapping attack scenarios, identifying defense gaps, or communicating security risks to stakeholders." risk: unknown source: community
Attack Tree Construction
Systematic attack path visualization and analysis.
Use this skill when
- Visualizing complex attack scenarios
- Identifying defense gaps and priorities
- Communicating risks to stakeholders
- Planning defensive investments or test scopes
Do not use this skill when
- You lack authorization or a defined scope to model the system
- The task is a general risk review without attack-path modeling
- The request is unrelated to security assessment or design
Instructions
- Confirm scope, assets, and the attacker goal for the root node.
- Decompose into sub-goals with AND/OR structure.
- Annotate leaves with cost, skill, time, and detectability.
- Map mitigations per branch and prioritize high-impact paths.
- If detailed templates are required, open
resources/implementation-playbook.md.
Safety
- Share attack trees only with authorized stakeholders.
- Avoid including sensitive exploit details unless required.
Resources
resources/implementation-playbook.mdfor detailed patterns, templates, and examples.
Auditeur de Securite
Securite
Analyse le code pour detecter les vulnerabilites OWASP Top 10.
Checklist de Sécurité OWASP
Securite
Génère des checklists de sécurité applicative basées sur l'OWASP Top 10.
Modélisation de Menaces
Securite
Génère des documents de modélisation de menaces avec analyse STRIDE.