MS-SDL 에서는 위험도를 계산하기 위해 DREAD를 이용한다.


DREAD 각 항목은 1~10점으로 평가하며, 1은 낮은 심각성 또는 발생확률이고 10은 높은 심각성 또는 발생확
이다. 위험도는 전체의 산술평균값(전체를 더한 결과/5)을  사용한다.    


      - 예상피해(Damage potential), 피해가 얼마나 클것인가?
         0 = 없음
         5 = 개별 사용자 데이터가 손상되거나 영향을 받는다.
        10 = 전체 시스템 또는 데이터가 삭제된다.


      - 재현확률(Reproducibility), 공격이 성공할 확률이 얼마인가?       
         0 = 심지어 응용 프로그램 관리자조차도 매우 어렵거나 불가능하다.
         5 = 하나 또는 두단계가 필요하거나, 허가된 사용자만 가능하다.
        10 =그냥 웹 브라우저 주소 표시 줄에서도  인증없이 가능하다.


      - 공격용이도(Exploitability),  공격을 위해 얼마나 많은 노력과 기술이 필요한가?
         0 = 고급 프로그래밍 기술과 네트워크 기술이 포함되는 사용자 정의나 고급 공격 도구 

               사용한다.
         5 = 악성 프로그램이 인터넷 상에 존재하거나, 가능한 공격 도구 사용한다.
        10 = 웹 브라우저만 사용한다.


      - 영향을 받는 사용자(Affected users), 위협이 악용되어 공격이 되었다고 할 때 얼마나 

                                                             많은 사람이 영향을 받는가?

        0 = 없음
        5 = 전체가 아닌 몇몇 사용자
       10 = 모든 사용자


      - 발견용이성(Discoverability), 취약점을 발견하기 쉬운가?

        0 = 불가능하거나 매우 어렵다.  소스 코드 또는 관리자 권한 액세스 요구된다.
        5 = 추측하거나  네트워크 모니터링을 통해 알아낸다.
        9 = 이 같은 오류의 세부 사항이 이미 공개되어  쉽게 검색 엔진을 사용하여 검색 할 수 

              있다.
       10 = 정보가 웹 브라우저 주소 표시 줄에서 볼 수있다.

블로그 이미지

오픈이지 제로킴

시큐어코딩 교육/컨설팅 전문가 그룹

티스토리 툴바