This thesis aims to create a basis for future research into the automation of attack graph generation. The main problem with manually creating an attack graph is that it is a costly and time-consuming endeavor. The Meta Attack Language (MAL), utilized in this thesis, is a tool that aids in the automation of this process. The related work indicates that although the process is automated to some extent, it also results in the transformation of a manual process into a software development exercise. Achieving automation is however difficult due to a widespread lack of adequate input when generating attack graphs. Thus, the main goal of this thesis has been to produce a set of requirements that need to be satisfied in order to facilitate said generation. This was done through requirements engineering, from which a prototype was designed. This prototype was then evaluated against these requirements and the ones found in the Cyber Resilience Act. The prototype in question consist of a pipeline that receives a system topology as input, from which domain-specific languages or DSLs using MAL are created. This system topology was written in Terraform, a tool used to produce infrastructure as code (IaC). The DSL in turn can be used to generate attack graphs without the involvement of a software developer. This was achieved by adding MAL toolbox (a python interface for creating attack graphs with MAL) support for generating attack graphs from machine-readable input. The evaluation of these results indicate that there is little wrong with automation tools, such as MAL, presented in this thesis. The main hurdle on the way to achieving automation and mass adoption of MAL and such tools is the lack of emphasis on software support for converting domains and topologies to machine-readable descriptions. By satisfying the various requirements proposed in this thesis however, that threshold could be substantially lowered, which is validated by the aforementioned pipeline.

Detta arbete ämnar att skapa en framtida grund för forskning inom ämnet automatisering och attackgrafgenerering. Traditionellt skapas attackgrafer manuellt vilket förknippas med en tidskrävande och dyr process. Verktyg såsom MAL automatiserar delvis denna process. Detta innebär även att det återstående manuella arbetet digitaliseras, vilket innebär en kunskapströskel för individer som saknar kompetenser inom systemutveckling. Målet med detta arbete var att definiera en uppsättning krav som möjliggör vissa förutsättningar för att kunna tillämpa och driva igenom automatisering av attackgrafens genereringsprocess. Utifrån dessa krav har ett proof of concept utvecklats där systemtopologier används för att skapa domänspecifika språk, som i sin tur sedan används som input för att generera attackgrafer utan inblandning av en systemutvecklare. Detta möjliggjordes genom att utöka viss funktionalitet i ’MAL toolbox’, ett gränssnitt i Python ämnat åt skapandet av attackgrafer. Mjukvaruutvecklingsprocessen bakom detta proof of concept gav i sin tur upphov till ytterligare utökning av kraven vad gäller stöd för för just modellering i kod. Slutligen evaluerades detta proof of concept gentemot framtida lagar (Cyber Resilience Act) gällande produkter med digitala element, i syfte att demonstrera hur det bidrar mot uppfyllandet av dessa lagar. Slutsatsen som kan härledas från rapporten är således att mjukvarustöd samt vissa grundförutsättningar saknas för att möjliggöra automatisering av attackgrafgenerering. Genom att uppfylla de krav som definierats kan man förse hotmodellerare med en bra grund för vidare automatisering.