
วิเคราะห์ความเสี่ยงของ Web Application ด้วย D.R.E.A.D.
การวิเคราะห์ความเสี่ยงของ Web Application ด้วยแบบจำลอง DREAD เป็นวิธีการที่ใช้กันอย่างแพร่หลาย ในการคำนวณระดับความเสี่ยงที่ถูกแสดงด้วยภัยคุกคาม มันเกี่ยวข้องกับการให้คะแนนตัวเลข กับตัวแปรความเสี่ยงทั้ง 5 แล้วเอามาคำนวณค่าความเสี่ยง ตัวแปรห้าตัวสำหรับการคำนวณความเสี่ยงในรูปแบบ DREAD คือ: Damage potential: ความเสียหายที่อาจเกิดขึ้น ประเมินความเสียหายที่อาจเกิดขึ้นจากช่องโหว่ที่เกิดขึ้น ค่าความเสียหายยิ่งมาก ความเสี่ยงก็ยิ่งสูง Reproducibility: ความสามารถในการเกิดซ้ำ กำหนดระดับความยากลำบากในการเกิดปัญหาซ้ำๆ หรือความสำเร็จที่จะทำให้เกิดปัญหาขึ้น การเกิดปัญหาซ้ำๆได้ง่าย จะทำให้ความเสี่ยงสูงขึ้น Exploitability: ความสามารถที่จะทำให้สำเร็จ ประเมินระดับความเชี่ยวชาญ เวลา และเครื่องมือที่จำเป็นในการทำใ้เกิดปัญหา กระบวนการที่เกิดปัญหานี้ยิ่งง่ายมากเท่าใด ค่าความเสี่ยงจะสูงขึ้น Affected users: ผู้ใช้ที่ได้รับผลกระทบ คำนวณจำนวน และความสำคัญของผู้ใช้ ที่อาจได้รับผลกระทบ ยิ่งจำนวนของผู้ใช้งานที่มากขึ้น และมีความสำคัญมากเท่าใด ก็ยิ่งมีความเสี่ยงสูงเท่านั้น Discoverability: การค้นพบ ประเมินความง่ายในการระบุภัยคุกคาม ซึ่งอาจมองเห็นได้ง่าย แสดงในแถบที่อยู่ของเว็บเบราเซอร์ ไปจนถึงสิ่งที่ไม่ได้รับการบันทึกไว้ และยากที่จะตรวจจับ ยิ่งความยากมากเท่าใด ความเสี่ยงก็ยิ่งมากขึ้น ค่าความเสี่ยง ขั้นตอนต่อไป เราจะกำหนดค่าใดค่าหนึ่งต่อไปนี้ ให้กับแต่ละตัวแปรทั้งห้าตัว เพื่อให้ได้รูปแบบการรักษาความปลอดภัยที่ชัดเจน: 0 = ไม่เสี่ยงเลย 5 = ความเสี่ยงปานกลาง 10 = ความเสี่ยงสูง ตัวอย่างการกำหนดค่าความเสี่ยง ตัวอย่างต่อไปนี้ คือ ช่องโหว่ของ Cross Side Script ซึ่งคะแนน DREAD ควรจะเป็นดังนี้ ความเสียหาย: 10 ความสามารถในการทำซ้ำได้: 5 การใช้ประโยชน์ได้: 10 ผู้ใช้ที่ได้รับผลกระทบ: 10 ความสามารถในการค้นพบ: 5 คะแนนรวม: 40 ในกรณีนี้ เราสามารถประเมินได้จากคะแนนรวมที่สูงว่า ช่องโหว่นี้มีศักยภาพในการทำให้เกิดความเสียหายอย่างมาก กับผู้ใช้จำนวนมาก และควรได้รับการบรรเทาทันที