MS-SDL(Microsoft Software Development Lifecycle), DREAD 위협모델링

MS-SDL(Microsoft Software Development Lifecycle), DREAD 위협모델링

CODEDRAGON ㆍSecurity/SecureCoding

Microsoft Software Development Lifecycle(MS-SDL) DREAD 위협모델링

DREAD 각 항목에 대한 위험도 1~10점으로 평가

DREAD	의미	위험도
예상피해(Damage potential)	피해가 얼마나 클것인가?	0 = 없음 5 = 개별 사용자 데이터가 손상되거나 영향을 받음 10 = 전체 시스템 또는 데이터가 삭제
재현확률(Reproducibility)	공격이 성공할 확률이 얼마인가?	0 = 심지어 응용 프로그램 관리자조차도 매우 어렵거나 불가능 5 = 하나 또는 두단계가 필요하거나, 허가된 사용자만 가능 10 =그냥 웹 브라우저 주소 표시 줄에서도 인증없이 가능
공격용이도(Exploitability)	공격을 위해 얼마나 많은 노력과 기술이 필요한가?	0 = 고급 프로그래밍 기술과 네트워크 기술이 포함되는 사용자 정의나 고급 공격 도구 사용 5 = 악성 프로그램이 인터넷 상에 존재하거나, 가능한 공격 도구 사용 10 = 웹 브라우저만 사용
영향을 받는 사용자(Affected users)	위협이 악용되어 공격이 되었다고 할 때 얼마나 많은 사람이 영향을 받는가?	0 = 없음 5 = 전체가 아닌 몇몇 사용자 10 = 모든 사용자
발견용이성(Discoverability)	취약점을 발견하기 쉬운가?	0 = 불가능하거나 매우 어렵다. 소스 코드 또는 관리자 권한 액세스 요구 5 = 추측하거나 네트워크 모니터링을 통해 알아냄 9 = 오류의 세부 사항이 이미 공개되어 쉽게 검색 엔진을 사용하여 해당 내용을 확인 할 수 있음. 10 = 정보가 웹 브라우저 주소 표시 줄에 출력.

Threat Risk Modeling - DREAD (OWASP)

Chapter 3 Threat Modeling - MSDN

CodeDragon