De methode maakt gebruik van grafische voorstelling en de National Vulnerability Database (NVD) waarin informatie is opgeslagen over de softwarelekken die door hackers kunnen worden uitgebuit. Tijdens een 'Attack Graph Analysis' wordt gekeken welke wegen een hacker kan afleggen om bij de jackpot te komen. Aan de hand van de NVD wordt vervolgens aan de verschillende routes een risico toegekend. Hoe makkelijker een bepaalde route is af te leggen voor de hacker, hoe groter het risico.

'We analyseren alle netwerkpaden die een aanvaller kan volgen en kennen een risico toe aan ieder component van het systeem', zegt NIST-onderzoeker Anoop Singhal. IT-beslissers kunnen de analyse vervolgens gebruiken om afwegingen en investeringen op het gebied van netwerkbeveiliging weloverwogen te maken, aldus de onderzoeker.

Grootschalige netwerken

Het NIST geeft als voorbeeld een eenvoudig systeem met een firewall, een router, een FTP-server en een databaseserver. Doel van de hacker is om vanaf een pc de eenvoudigste route tot de databaseserver te vinden. Met Attack Graph Analysis zijn drie mogelijke aanvalspatronen te ontdekken. Voor ieder pad berekenen de onderzoekers een 'aanvalsmogelijkheid' die is gebaseerd op de score in de NVD-database.

De onderzoekers hebben inmiddels patent aangevraagd op de techniek. Een volgende stap is de methode geschikt maken voor grootschalige netwerken. Het is nog niet bekend hoe de techniek op de markt wordt gebracht.