热门标签
热门文章
- 1(CVE-2019-0227)Axis<=1.4 远程命令执行漏洞_apache axis远程命令执行漏洞
- 2计算机网络——ARP地址欺骗_检测到一个arp地址欺骗在接口
- 3Docker - 6. 容器常用命令 docker run、ps、exit、rm、start、restart、stop、kill_docker rm
- 4OpenCv —— Win10使用OpenCv调用Yolov5的.pt导出的.onnx模型进行测试【CPU版Cv】(附源码、附CV编译视频)_opencv调用pt模型
- 5c++随机数方法
- 6数据结构--双端队列
- 7spring cloud——Eureka服务发现和治理_服务的发现和治理 rsureka
- 8机器学习小实战(六) XGBoost基本原理_强化学习 xgb
- 9a770m和rtx3060哪个好 a770m和3060差距_intel a770m显卡和n家的3060显卡哪个强?
- 10贪心算法 之会议安排_已知会议时长动态规划安排会议
当前位置: article > 正文
DREAD风险评估模型_dread模型
作者:小小林熬夜学编程 | 2024-04-21 09:22:14
赞
踩
dread模型
风险评估模型很重要,任何一个风险,需要经过系统的评估才能确定风险的实际危害程度。毕竟安全也是一门科学。
本文介绍DREAD风险评估模型。
DREAD是原来微软的风险评估威胁系统的一部分。这里有一篇微软的论文 link。由于此模型不稳定,比如可发现性难衡量、可复现性很多场景下不重要等,实际使用过程中有时评分十分不准确,所以微软在2008年可能弃用了此模型,例如,在ASRC中,微软使用Bug Bar来定义威胁风险。
DREAD提供了5个维度,进行威胁评级,每个维度0-10分。通过最后的评分确定威胁的严重程度。
以下是DREAD各维度介绍。
| 维度 | 描述 | 评分 |
|---|---|---|
| Damage 危害程度 | 风险会造成怎样的危害?包括:系统受危害程度,泄露信息的数据敏感性,资金资产损失,公关法律风险。 | 0:无损失; 5:一般损失 10:巨大损失 |
| Reproducibility 可复现性 | 重现攻击是否容易,风险是否可以稳定复现。 | 0 :管理员也难以复现。 5:授权用户需要复杂步骤。 7 :身份验证用户可通过简单步骤复现。 10 :只是一个Web浏览器即可复现。 |
| Exploitability 利用难度 | 需要多少成本才能实现这个攻击,关注的重点是利用难度。 | 0:无法利用 2:利用条件非常苛刻,难以利用 4:利用有一定难度,利用非常复杂 6:高级攻击者资质工具利用 3分:中级攻击者利用 10:新手可在简单工具下轻松利用 |
| Affected users影响面 | 可理解为系统业务的重要程度,重要业务好边缘业务对用户的影响是不同的。 | 0 :无影响 2.5:影响个别个人/雇主。 6 :一些个人或雇主权限的用户,非全部。 8 :影响管理用户。 10 :影响所有用户 |
| Discoverability 发现难度 | 是否能被外界轻易发现,外界发现此风险是否需要较高成本。 | 0 :需要源代码或管理访问权限。 5:可通过监听HTTP请求发现。 8 :已公开poc,可轻松发现。 10:在Web浏览器地址栏或表单中可见。 |
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小小林熬夜学编程/article/detail/462246
推荐阅读
相关标签
