DREAD (model hodnocení rizik) - DREAD (risk assessment model) - Wikipedia

STRACH je součástí systému pro hodnocení rizik zabezpečení počítače hrozby dříve používán u společnosti Microsoft a přestože je aktuálně používán OpenStack a dalšími společnostmi^{[Citace je zapotřebí ]} to bylo opuštěno jeho tvůrci.^[1] Poskytuje mnemotechnická pomůcka pro hodnocení bezpečnostních hrozeb pomocí pěti kategorií.

Kategorie jsou:

Damage - jak špatný by byl útok?
Reproducibility - jak snadné je útok reprodukovat?
Exploitability - kolik práce je k zahájení útoku?
Affected users - how many people will be impacted?
Discoverability - jak snadné je hrozbu odhalit?

Název DREAD pochází z iniciál pěti uvedených kategorií. To bylo původně navrženo pro modelování hrozeb, ale bylo zjištěno, že hodnocení nejsou příliš konzistentní a jsou předmětem debaty. V roce 2008 byl v Microsoftu mimo provoz.^[2]

Když je daná hrozba hodnocena pomocí DREAD, každé kategorii je uděleno hodnocení od 1 do 10.^[3]Součet všech hodnocení pro danou emisi lze použít k upřednostnění mezi různými emisemi.

Debata o objevitelnosti

Někteří bezpečnostní experti se domnívají, že včetně prvku „Discoverability“ jako posledních odměn D. bezpečnost prostřednictvím neznáma, takže některé organizace buď přešly na stupnici DREAD-D „DREAD minus D“ (která vynechává Viditelnost), nebo vždy předpokládají, že je Viditelnost na svém maximálním hodnocení.^[4]^[5]

Viz také

Kybernetická bezpečnost a protiopatření
STRIDE - další mnemotechnická pomůcka pro bezpečnostní hrozby

Reference

^ Experiences Threat Modeling ve společnosti Microsoft, Adam Shostack
^ "Používáte DREAD tak, jak je?". Archivovány od originál dne 06.03.2016. Citováno 2014-09-08.
^ https://wiki.openstack.org/wiki/Security/OSSA-Metrics#DREAD OpenStack Security OSSA / Metrics DREAD
^ https://wiki.openstack.org/wiki/Security/OSSA-Metrics#Calibration Zabezpečení OpenStack Zabezpečení OSSA / Metriky DREAD Kalibrace: „Viditelnost se vždy předpokládá 10“
^ https://www.owasp.org/index.php/Threat_Risk_Modeling#DREAD Modelování rizik ohrožení OWASP: DREAD: „Zjistitelnost bude podle konvence často nastavena na 10“

externí odkazy

Tento zabezpečení počítače článek je a pahýl. Wikipedii můžete pomoci pomocí rozšiřovat to.

[1] Experiences Threat Modeling ve společnosti Microsoft, Adam Shostack

[2] "Používáte DREAD tak, jak je?". Archivovány od originál dne 06.03.2016. Citováno 2014-09-08.

[3] ttps://wiki.openstack.org/wiki/Security/OSSA-Metrics#DREAD OpenStack Security OSSA / Metrics DREAD

[4] ttps://wiki.openstack.org/wiki/Security/OSSA-Metrics#Calibration Zabezpečení OpenStack Zabezpečení OSSA / Metriky DREAD Kalibrace: „Viditelnost se vždy předpokládá 10“

[5] ttps://www.owasp.org/index.php/Threat_Risk_Modeling#DREAD Modelování rizik ohrožení OWASP: DREAD: „Zjistitelnost bude podle konvence často nastavena na 10“

[1]

[2]

[3]

[4]

[5]