-Stride、VAST、Trike 等:哪種威脅建模方法適合您的組織?
風險敞口是根據可能性、後果和其他風險因素用貨幣價值、分數或尺度值評估的潛在損失的量度。風險暴露通常被簡化為後果的概率和幅度的乘積;即預期價值或預期暴露。例如,假設有 50% 的風險可能導致 1,000,000 美元的財務損失,則風險敞口為 500,000 美元。
DREAD 是損害、可再現性、可利用性、受影響用戶和可發現性的首字母縮寫詞。首字母縮略詞的每個字母代表可能性或影響。它們被一起考慮以評估風險敞口。
STRIDE 是一種風險分類工具,具有預定義的類別:欺騙、篡改、否認、信息披露、拒絕服務特權提升。它不分析威脅的可能性或影響。
-威脅建模(來源:CSSLP CBK)
參考
. Stride、VAST、Trike 等:哪種威脅建模方法適合您的組織?
資料來源: Wentz Wu QOTD-20210726
PS:此文章經過作者同意刊登 並且授權可以翻譯成中文
