Hodnocení závažnosti a DREAD

Ke každé nalezené zranitelnosti se obvykle přidává skóre závažnosti (severity score). Existuje více systémů hodnocení, které závisejí na povaze zranitelnosti (např. CVSS pro počítačové systémy). Důležité je rozlišovat mezi technickou závažností a dopadem na byznys. Skóre primárně pomáhá příjemci testovací zprávy určit prioritu při nápravě nebo mitigaci, ačkoli to nemusí platit vždy absolutně.

Základní hodnocení – Naivní přístup

Naivní přístup k hodnocení
Pro identifikaci závažnosti lze zavést jednoduchou škálu:
  • High (Vysoká): Nejkritičtější zranitelnosti, přímý dopad.
  • Medium (Střední): Obtížně zneužitelné zranitelnosti, možný dopad.
  • Low (Nízká): Žádný skutečný dopad, ale je dobré to zmínit.

Výhoda: Snadná implementace.
Nevýhoda: Je těžké udržet konzistentní hodnocení napříč týmem.

Model DREAD

Model DREAD byl zaveden společností Microsoft. Ačkoli byl oficiálně opuštěn, stále se s ním lze občas setkat. Vznikl proto, aby vyřešil problém s tím, že členové týmu se často neshodnou na hodnocení v příliš jednoduchých systémech. Přidává nové dimenze, které pomáhají určit, co hrozba skutečně znamená.

Kategorie DREAD
Skóre rizika hrozby se určuje pomocí odpovědí na následující otázky:
  • D - Damage potential (Potenciální škoda): Jak velká je škoda, pokud je zranitelnost zneužita?
  • R - Reproducibility (Reprodukovatelnost): Jak snadné je zopakovat útok?
  • E - Exploitability (Zneužitelnost): Jak snadné je útok spustit?
  • A - Affected users (Zasažení uživatelé): Kolik uživatelů je hrubým odhadem v procentech zasaženo?
  • D - Discoverability (Objevitelnost): Jak snadné je zranitelnost najít?

Výpočet skóre DREAD

Jak se počítá DREAD
  • Každé z pěti hodnocení (D, R, E, A, D) obdrží hodnotu od 1 do 3 (1 = Low, 2 = Medium, 3 = High).
  • Výsledkem je číslo v rozmezí 5 až 15.
  • Celkové hodnocení:
    • High risk (Vysoké riziko): 12 — 15
    • Medium risk (Střední riziko): 8 — 11
    • Low risk (Nízké riziko): 5 — 7