DREAD 模型
DREAD 模型 是什么?
DREAD 模型一种定性风险评分模型,从 Damage、Reproducibility、Exploitability、Affected users、Discoverability 五个维度对威胁打分。
DREAD 是 Microsoft 在 2000 年代初期与 STRIDE 一同提出的定性风险评分模型,用于应用程序的威胁建模。分析人员针对每个识别出的威胁,在 Damage potential、Reproducibility、Exploitability、Affected users、Discoverability 五个维度上(通常各打 1 到 10 分)进行评分,再求和或求平均得到相对风险分,用于优先级排序。由于评分主观性强、一致性差,Microsoft 已正式弃用 DREAD;但在许多 AppSec、威胁建模和 ISO 27001 风险评估场景中,当人们偏好轻量级评分方案而不是 CVSS 或完整定量分析时,DREAD 仍被广泛教学和使用,且与 STRIDE 识别出的威胁天然契合。
● 示例
- 01
威胁建模工作坊中,对每个 STRIDE 威胁使用 DREAD 评分,用于排定修复待办的优先级。
- 02
产品安全团队在尚未适用 CVE 类评分的早期设计评审中使用 DREAD。
● 常见问题
DREAD 模型 是什么?
一种定性风险评分模型,从 Damage、Reproducibility、Exploitability、Affected users、Discoverability 五个维度对威胁打分。 它属于网络安全的 合规与框架 分类。
DREAD 模型 是什么意思?
一种定性风险评分模型,从 Damage、Reproducibility、Exploitability、Affected users、Discoverability 五个维度对威胁打分。
如何防御 DREAD 模型?
针对 DREAD 模型 的防御通常结合技术控制与运营实践,详见上方完整定义。
DREAD 模型 还有哪些其他名称?
常见的别称包括: DREAD 风险模型。