风险评估模型很重要,任何一个风险,需要经过系统的评估才能确定风险的实际危害程度。毕竟安全也是一门科学。
本文介绍DREAD风险评估模型。
DREAD是原来微软的风险评估威胁系统的一部分。这里有一篇微软的论文 link。由于此模型不稳定,比如可发现性难衡量、可复现性很多场景下不重要等,实际使用过程中有时评分十分不准确,所以微软在2008年可能弃用了此模型,例如,在ASRC中,微软使用Bug Bar来定义威胁风险。
DREAD提供了5个维度,进行威胁评级,每个维度0-10分。通过最后的评分确定威胁的严重程度。
以下是DREAD各维度介绍。
维度 | 描述 | 评分 |
Damage 危害程度 | 风险会造成怎样的危害?包括:系统受危害程度,泄露信息的数据敏感性,资金资产损失,公关法律风险。 | 0:无损失; 5:一般损失 10:巨大损失 |
Reproducibility 可复现性 | 重现攻击是否容易,风险是否可以稳定复现。 | 0 :管理员也难以复现。 5:授权用户需要复杂步骤。 7 :身份验证用户可通过简单步骤复现。 10 :只是一个Web浏览器即可复现。 |
Exploitability 利用难度 | 需要多少成本才能实现这个攻击,关注的重点是利用难度。 | 0:无法利用 2:利用条件非常苛刻,难以利用 4:利用有一定难度,利用非常复杂 6:高级攻击者资质工具利用 3分:中级攻击者利用 10:新手可在简单工具下轻松利用 |
Affected users影响面 | 可理解为系统业务的重要程度,重要业务好边缘业务对用户的影响是不同的。 | 0 :无影响 2.5:影响个别个人/雇主。 6 :一些个人或雇主权限的用户,非全部。 8 :影响管理用户。 10 :影响所有用户 |
Discoverability 发现难度 | 是否能被外界轻易发现,外界发现此风险是否需要较高成本。 | 0 :需要源代码或管理访问权限。 5:可通过监听HTTP请求发现。 8 :已公开poc,可轻松发现。 10:在Web浏览器地址栏或表单中可见。 |
