Modelo DREAD
¿Qué es Modelo DREAD?
Modelo DREADModelo cualitativo de valoración de riesgos que puntúa las amenazas según Damage, Reproducibility, Exploitability, Affected users y Discoverability.
DREAD es un modelo cualitativo de valoración de riesgos introducido inicialmente por Microsoft a principios de los 2000 junto con STRIDE para el modelado de amenazas de aplicaciones. Cada amenaza se valora en cinco dimensiones —Damage potential, Reproducibility, Exploitability, Affected users y Discoverability— normalmente con puntuaciones de 1 a 10, que después se suman o promedian para obtener un riesgo relativo que guía la priorización. Microsoft retiró formalmente DREAD por la subjetividad y la inconsistencia de su puntuación, pero sigue enseñándose y empleándose en muchos contextos de AppSec, modelado de amenazas y evaluación de riesgos de ISO 27001, cuando se prefiere un esquema ligero a CVSS o a un análisis cuantitativo completo. Encaja de forma natural con amenazas identificadas mediante STRIDE.
● Ejemplos
- 01
Un taller de modelado de amenazas que puntúa con DREAD cada amenaza STRIDE para ordenar el backlog de remediación.
- 02
Un equipo de product security que aplica DREAD en revisiones tempranas de diseño donde aún no aplica una puntuación tipo CVE.
● Preguntas frecuentes
¿Qué es Modelo DREAD?
Modelo cualitativo de valoración de riesgos que puntúa las amenazas según Damage, Reproducibility, Exploitability, Affected users y Discoverability. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa Modelo DREAD?
Modelo cualitativo de valoración de riesgos que puntúa las amenazas según Damage, Reproducibility, Exploitability, Affected users y Discoverability.
¿Cómo defenderse de Modelo DREAD?
Las defensas contra Modelo DREAD combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Modelo DREAD?
Nombres alternativos comunes: Modelo de riesgo DREAD.