DREAD风险评估模型
风险评估模型很重要,任何一个风险,需要经过系统的评估才能确定风险的实际危害程度。毕竟安全也是一门科学。
本文介绍DREAD风险评估模型。
DREAD是原来微软的风险评估威胁系统的一部分。这里有一篇微软的论文 link。由于此模型不稳定,比如可发现性难衡量、可复现性很多场景下不重要等,实际使用过程中有时评分十分不准确,所以微软在2008年可能弃用了此模型,例如,在ASRC中,微软使用Bug Bar来定义威胁风险。
DREAD提供了5个维度,进行威胁评级,每个维度0-10分。通过最后的评分确定威胁的严重程度。
以下是DREAD各维度介绍。
维度 | 描述 | 评分 |
---|---|---|
Damage 危害程度 | 风险会造成怎样的危害?包括:系统受危害程度,泄露信息的数据敏感性,资金资产损失,公关法律风险。 |
0:无损失; 5:一般损失 10:巨大损失 |
Reproducibility 可复现性 | 重现攻击是否容易,风险是否可以稳定复现。 |
0 :管理员也难以复现。 5:授权用户需要复杂步骤。 7 :身份验证用户可通过简单步骤复现。 10 :只是一个Web浏览器即可复现。 |
Exploitability 利用难度 | 需要多少成本才能实现这个攻击,关注的重点是利用难度。 |
0:无法利用 2:利用条件非常苛刻,难以利用 4:利用有一定难度,利用非常复杂 6:高级攻击者资质工具利用 3分:中级攻击者利用 10:新手可在简单工具下轻松利用 |
Affected users影响面 | 可理解为系统业务的重要程度,重要业务好边缘业务对用户的影响是不同的。 |
0 :无影响 2.5:影响个别个人/雇主。 6 :一些个人或雇主权限的用户,非全部。 8 :影响管理用户。 10 :影响所有用户 |
Discoverability 发现难度 | 是否能被外界轻易发现,外界发现此风险是否需要较高成本。 |
0 :需要源代码或管理访问权限。 5:可通过监听HTTP请求发现。 8 :已公开poc,可轻松发现。 10:在Web浏览器地址栏或表单中可见。 |
DREAD风险评估模型相关推荐
- 大数据新算法在个人信用风险评估模型中使用效果的评估
风控系统资料 https://www.jianshu.com/p/db2aece905a7 基于大数据和机器学习的Web异常参数检测系统Demo实现 https://www.freebuf.com/a ...
- 深度学习用于医学预后-第二课第四周1-4节-使用线性和基于树的模型构建风险评估模型
今天起进入到第四周课程的学习,使用线性和基于树的模型构建风险评估模型 风险分数 本周,你将学习建立和评估生存预测模型的策略,这些模型将使你能够比较个体患者的风险.您将学习两个这样的模型:Cox比例风险 ...
- C5.0决策树建立个人信用风险评估模型
通过构建自动化的信用评分模型,以在线方式进行即时的信贷审批能够为银行节约很多人工成本.本案例,我们将使用C5.0决策树算法建立一个简单的个人信用风险评估模型. 导入类库 读取数据 #创建编码所用的数据 ...
- kaggle数据挖掘竞赛--信用卡违约风险评估模型
本例程是通过客户提供的信息分析客户会产生违约的可能性.由此来判断是否要给客户提供贷款.背景内容不再多说,数据相关的解释在代码中会有注释.运行中缺失的包请自行安装,我这里的环境是anaconda 直接上 ...
- (二)安全计算-Threat Modelling威胁建模
一,Threat Modelling Goals threat profile secure design and implementation penetration tests渗透测试 vulne ...
- STRIDE 威胁建模:面向安全应用程序开发的威胁分析框架
一.什么是 STRIDE 威胁建模? STRIDE 威胁模型由Microsoft安全研究人员于 1999 年创建,是一种以开发人员为中心的威胁建模方法,通过此方法可识别可能影响应用程序的威胁.攻击.漏 ...
- 谷歌40人发表59页长文:为何真实场景中ML模型表现不好?
文 | 白鹡鸰 编 | 夕小瑶 ~前不久,在卖萌屋NLP群里默默潜水的白鹡鸰被群友提到的一篇Google几天前放出的59页超长论文炸得飞了起来. 来,大家来感受一下气势浩大的论文首页 文章名字是Und ...
- 风险评估资产重要性识别_如何有效的进行风险评估?
前言 信息安全是网络发展和信息化进程的产物,近几年,无论是国家层面,还是企业本身,都对信息安全愈发的重视.风险管理的理念也逐步被引入到信息安全领域,并迅速得到较为广泛的认可.风险评估逐步成为信息安全管 ...
- 等保2.0安全管理制度对比_一手资料!等保2.0云计算安全与风险评估
一.等保2.0对云计算发展提出"新要求" 与等保1.0的标准体系相比,等保2.0在适用性.时效性.易用性.可操作性上得到进一步扩充和完善,以适应云计算.物联网.工业控制系统等新技术 ...
- 简单OR复杂?机器学习专家为你解密企业风险量化模型
在过去的几年里,建立在机器学习算法.自然语言处理.分布式存储和计算等技术之上的大数据理论研究和技术应用越来越受到关注. 有这样两个客观事实推动了本文的撰写: 传统信贷服务依赖人工.基于流程的风险管理特 ...
最新文章
- 计算机目录读取,从项目目录中读取SQL查询文件(Read SQL query file from project directory)...
- “头号大厂铁粉”微软宣布关闭区块链服务
- 配置多个git账号_一台电脑,两个及多个git账号配置
- JavaCore HeapDump
- JavaWeb -- Jsp 自定义标签的使用
- 新手抖音直播需要什么设备;看完让你少花冤枉钱。
- 专业的统计分析软件 IBM SPSS Statistics 26.0.2 Mac版(内附安装包网盘链接)
- C4D Octane渲染器 学习笔记(二)
- Maven私服nexus磁盘空间清理
- 合泰单片机市场占有率_科创板亏损第一股年亏26亿背后:核心技术依赖母公司与台积电相差3代...
- Floating Point Determinism
- UE4 3DUI Widget半透明渲染模糊和重影问题
- tp5和微信小程序联接mqtt订阅及发布
- VUE3 子传父 父传子 双向传递
- word参考文献交叉引用一次性更新全部域
- Stimulsoft Dashboards.JS JavaScript 2203.1.0仪表板
- 天润融通亮相中国服务外包领军者年会
- 音频编辑软件Goldwave v6.68中文版,goldwave 2022最新版怎么来消除人声
- 小程序Springboot基层慢性病信息管理系统毕业设计-附源码221550
- 如何不用串口线进行连接其他交换机
热门文章
- 五月,温暖,风带着花香沁人心脾,独坐窗前
- 基于 AUTOSAR 的电动汽车中央控制单元 CAN 通信软件开发
- swift5.0 代码实现跳转页面Segue (performSegue and prepare)
- Google浏览器书签栏优化
- 根据旋转角计算欧拉角 (Computing Euler angles from a rotation matrix)
- 【软件设计】软件设计基础方法(含软件设计步骤流程)
- springcloud学习-Eureka、Eureka高可用集群、Ribbon客户端负载均衡策略
- win7系统桌面计算机不见了,win7 64位旗舰版系统桌面上的计算机图标不见了
- html中滚动字幕是什么属性,html中Marquee属性详解(滚动显示文本/图片)
- cos(a-b)=cosa*cosb+sina*sinb的推导过程