DREAD (модель оценки риска) - Википедия - DREAD (risk assessment model)
СТРАХ является частью системы оценки рисков компьютерная безопасность угрозы ранее использовался Microsoft и хотя в настоящее время используется OpenStack и другими корпорациями[нужна цитата ] от него отказались его создатели.[1] Он обеспечивает мнемонический для оценки риска угроз безопасности по пяти категориям.
Категории:
- Damage - насколько серьезной будет атака?
- рвоспроизводимость - насколько легко воспроизвести атаку?
- Exploitability - сколько работы нужно для запуска атаки?
- Азараженные пользователи - сколько людей будут затронуты?
- Dобнаруживаемость - насколько легко обнаружить угрозу?
Название DREAD происходит от инициалов пяти перечисленных категорий. Изначально предлагалось для моделирование угроз, но было обнаружено, что рейтинги не очень согласованы и являются предметом обсуждения. К 2008 году он вышел из употребления в Microsoft.[2]
Когда данная угроза оценивается с помощью DREAD, каждой категории присваивается рейтинг от 1 до 10.[3]Сумма всех рейтингов для данной проблемы может использоваться для определения приоритетности различных проблем.
Обнаружение дискуссии
Некоторые эксперты по безопасности считают, что включение элемента «Обнаруживаемость» в качестве последней награды D безопасность через безвестность, поэтому некоторые организации либо перешли на шкалу DREAD-D «DREAD минус D» (которая не учитывает обнаруживаемость), либо всегда предполагают, что обнаруживаемость находится на максимальном уровне.[4][5]
Смотрите также
- Кибербезопасность и противодействие
- STRIDE - еще одна мнемоника угроз безопасности
Рекомендации
- ^ Опыт моделирования угроз в Microsoft, Адам Шостак
- ^ "Вы используете DREAD как есть?". Архивировано из оригинал на 2016-03-06. Получено 2014-09-08.
- ^ https://wiki.openstack.org/wiki/Security/OSSA-Metrics#DREAD OpenStack Security OSSA / Metrics DREAD
- ^ https://wiki.openstack.org/wiki/Security/OSSA-Metrics#Calibration OpenStack Security OSSA / Metrics DREAD Calibration: «Вероятность обнаружения всегда принимается равной 10»
- ^ https://www.owasp.org/index.php/Threat_Risk_Modeling#DREAD OWASP Threat Risk Modeling: DREAD: «Обнаруживаемость часто устанавливается на 10 по соглашению»
внешняя ссылка
- Повышение безопасности веб-приложений: угрозы и меры противодействия
- DREADful, сообщение в блоге MSDN
- Опыт моделирования угроз в Microsoft, Адам Шостак
Этот компьютерная безопасность статья - это заглушка. Вы можете помочь Википедии расширяя это. |