Drevesa napadov so način vizualnega predstavljanja groženj računalniške varnosti v razvejanem modelu, da se ugotovi, katere grožnje so najverjetnejše in kako učinkovito blokirati grožnje. Strokovnjak za varnost Bruce Schneier je predlagal model drevesa napadov, ki se pogosto uporablja v različnih okoljih. Uslužbenci informacijske tehnologije in varnostni svetovalci lahko to med številnimi metodami uporabijo za iskanje šibkih točk v sistemu in razvoj načrta za njihovo obravnavo.
V drevesih napadov strokovnjaki za varnost podrobno opisujejo vse možne načine za napad na sistem. Ta metoda se uporablja predvsem pri računalniški varnosti, lahko pa se uporablja tudi za druge teme, kot je varnost v gospodinjstvu. V gospodinjstvu, kjer je v spalnici shranjeno nekaj dragocenega, bi napadalno drevo raziskalo različne načine, kako bi ljudje lahko dostopali do tega predmeta, od vdora skozi okno spalnice do sklenitve prijateljstva in izkoriščanja dostopa, zagotovljenega na večerji. ukrasti predmet.
Cilj napada, kot je dostop do zaupnih datotek ali kraja denarja, je koren drevesa napadov. Vsaka veja predstavlja drugačno metodo za dosego tega cilja, veje pa se lahko odcepijo v več smereh z različnimi možnostmi za izvajanje teh metod. Za prestrezanje e-pošte bi se lahko na primer nekdo spoprijateljil s sistemskim skrbnikom, ki ima gesla na visoki ravni, ali vdrl v sistem, da bi zgrabil kopijo e-pošte, ko gredo skozi določen strežnik.
Z grafično predstavitvijo možnih sistemskih podvigov je mogoče različnim postavkam na grafikonu dodeliti vrednosti težavnosti. Drevesa napadov lahko varnostnim strokovnjakom pomagajo ugotoviti, kje so šibke točke, v primerjavi z območji visoke varnosti, ki verjetno ne potrebujejo dodatnih ukrepov. Upoštevati so lahko tudi stroški; metoda je lahko zelo enostavna, a tako draga, da stroški ustvarijo pomembno oviro, zato je lahko nižja prioriteta kot težja, a zelo poceni možnost. Drevesa napadov lahko varnostnim strokovnjakom pomagajo določiti prednostne naloge, ko gre za izboljšanje varnosti in razvoj, da ostanejo pred grožnjami.
Ustvarjalnost je ključnega pomena pri ustvarjanju napadalnih dreves. Strokovnjaki za varnost morajo “razmišljati izven okvirjev”, ko gre za raziskovanje možnih izkoriščanj, ki bi jih lahko uporabili za dostop do varnega sistema. Pomanjkanje predvidevanja bi lahko privedlo do zamude očitne težave, kot je možnost, da bi nekdo vstopil v odklenjeno sobo in preprosto ukradel strežnik, ki vsebuje želene zaupne podatke.