DREAD (модель оценки риска) - Википедия - DREAD (risk assessment model)

СТРАХ является частью системы оценки рисков компьютерная безопасность угрозы ранее использовался Microsoft и хотя в настоящее время используется OpenStack и другими корпорациями[нужна цитата ] от него отказались его создатели.[1] Он обеспечивает мнемонический для оценки риска угроз безопасности по пяти категориям.

Категории:

  • Damage - насколько серьезной будет атака?
  • рвоспроизводимость - насколько легко воспроизвести атаку?
  • Exploitability - сколько работы нужно для запуска атаки?
  • Азараженные пользователи - сколько людей будут затронуты?
  • Dобнаруживаемость - насколько легко обнаружить угрозу?

Название DREAD происходит от инициалов пяти перечисленных категорий. Изначально предлагалось для моделирование угроз, но было обнаружено, что рейтинги не очень согласованы и являются предметом обсуждения. К 2008 году он вышел из употребления в Microsoft.[2]

Когда данная угроза оценивается с помощью DREAD, каждой категории присваивается рейтинг от 1 до 10.[3]Сумма всех рейтингов для данной проблемы может использоваться для определения приоритетности различных проблем.

Обнаружение дискуссии

Некоторые эксперты по безопасности считают, что включение элемента «Обнаруживаемость» в качестве последней награды D безопасность через безвестность, поэтому некоторые организации либо перешли на шкалу DREAD-D «DREAD минус D» (которая не учитывает обнаруживаемость), либо всегда предполагают, что обнаруживаемость находится на максимальном уровне.[4][5]

Смотрите также

Рекомендации

  1. ^ Опыт моделирования угроз в Microsoft, Адам Шостак
  2. ^ "Вы используете DREAD как есть?". Архивировано из оригинал на 2016-03-06. Получено 2014-09-08.
  3. ^ https://wiki.openstack.org/wiki/Security/OSSA-Metrics#DREAD OpenStack Security OSSA / Metrics DREAD
  4. ^ https://wiki.openstack.org/wiki/Security/OSSA-Metrics#Calibration OpenStack Security OSSA / Metrics DREAD Calibration: «Вероятность обнаружения всегда принимается равной 10»
  5. ^ https://www.owasp.org/index.php/Threat_Risk_Modeling#DREAD OWASP Threat Risk Modeling: DREAD: «Обнаруживаемость часто устанавливается на 10 по соглашению»

внешняя ссылка