달력

5

« 2020/5 »

  •  
  •  
  •  
  •  
  •  
  • 1
  • 2
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  •  
  •  
  •  
  •  
  •  
  •  

   

Microsoft Software Development Lifecycle(MS-SDL) DREAD 위협모델링

DREAD 각 항목에 대한 위험도 1~10점으로 평가

  • 1은 낮은 심각성 또는 발생확률이고
  • 10은 높은 심각성 또는 발생확률
  • 위험도는 전체의 산술평균값(전체를 더한 결과/5)

   

DREAD

의미

위험도

예상피해(Damage potential)

피해가 얼마나 클것인가?

0 = 없음

5 = 개별 사용자 데이터가 손상되거나 영향을 받음

10 = 전체 시스템 또는 데이터가 삭제

재현확률(Reproducibility)

공격이 성공할 확률이 얼마인가?

0 = 심지어 응용 프로그램 관리자조차도 매우 어렵거나 불가능

5 = 하나 또는 두단계가 필요하거나, 허가된 사용자만 가능

10 =그냥 웹 브라우저 주소 표시 줄에서도  인증없이 가능

공격용이도(Exploitability)

공격을 위해 얼마나 많은 노력과 기술이 필요한가?

0 = 고급 프로그래밍 기술과 네트워크 기술이 포함되는 사용자 정의나 고급 공격 도구 사용

5 = 악성 프로그램이 인터넷 상에 존재하거나, 가능한 공격 도구 사용

10 = 웹 브라우저만 사용

영향을 받는 사용자(Affected users)

위협이 악용되어 공격이 되었다고 할 때 얼마나 많은 사람이 영향을 받는가?

0 = 없음

5 = 전체가 아닌 몇몇 사용자

10 = 모든 사용자

발견용이성(Discoverability)

취약점을 발견하기 쉬운가?

0 = 불가능하거나 매우 어렵다.  소스 코드 또는 관리자 권한 액세스 요구

5 = 추측하거나  네트워크 모니터링을 통해 알아냄

9 = 오류의 세부 사항이 이미 공개되어 쉽게 검색 엔진을 사용하여 해당 내용을 확인 할 수 있음.

10 = 정보가 웹 브라우저 주소 표시 줄에 출력.

   

   

Threat Risk Modeling - DREAD (OWASP)

https://www.owasp.org/index.php/Threat_Risk_Modeling#DREAD

   

   

Chapter 3 Threat Modeling - MSDN

http://msdn.microsoft.com/en-us/library/ff648644.aspx

'Security > SecureCoding' 카테고리의 다른 글

손모양  (0) 2016.10.26
하드 코딩(Hard Coding)된 패스워드  (0) 2016.10.20
MS-SDL(Microsoft Software Development Lifecycle), DREAD 위협모델링  (0) 2016.10.05
메모리 구조, 메모리 영역  (0) 2016.09.25
메모리 누수(memory leak)  (0) 2016.09.22
뇌파(EEG)  (0) 2016.09.11
Posted by codedragon codedragon

댓글을 달아 주세요