Modelo DREAD
O que é Modelo DREAD?
Modelo DREADModelo qualitativo de avaliação de risco que pontua ameaças em Damage, Reproducibility, Exploitability, Affected users e Discoverability.
O DREAD é um modelo qualitativo de avaliação de risco introduzido pela Microsoft no início dos anos 2000 a par do STRIDE para modelagem de ameaças aplicacionais. Cada ameaça identificada é avaliada em cinco dimensões — Damage potential, Reproducibility, Exploitability, Affected users e Discoverability — normalmente com pontuações de 1 a 10, que são somadas ou calculadas em média para obter um risco relativo usado na priorização. A Microsoft descontinuou formalmente o DREAD por causa da subjetividade e inconsistência da pontuação, mas continua a ser ensinado e aplicado em muitos contextos de AppSec, threat modeling e avaliações de risco ISO 27001 onde se prefere um esquema mais leve do que o CVSS ou uma análise quantitativa completa. Combina naturalmente com ameaças identificadas pelo STRIDE.
● Exemplos
- 01
Workshop de threat modeling onde cada ameaça STRIDE é pontuada com DREAD para priorizar o backlog de remediação.
- 02
Equipa de product security que utiliza DREAD em revisões iniciais de design onde ainda não se aplica uma pontuação tipo CVE.
● Perguntas frequentes
O que é Modelo DREAD?
Modelo qualitativo de avaliação de risco que pontua ameaças em Damage, Reproducibility, Exploitability, Affected users e Discoverability. Pertence à categoria Conformidade e frameworks da cibersegurança.
O que significa Modelo DREAD?
Modelo qualitativo de avaliação de risco que pontua ameaças em Damage, Reproducibility, Exploitability, Affected users e Discoverability.
Como se defender contra Modelo DREAD?
As defesas contra Modelo DREAD costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Modelo DREAD?
Nomes alternativos comuns: Modelo de risco DREAD.