OWASP风险评级方法

1. 标准风险模型

风险 = 可能性 ╳ 影响

2. 考虑影响可能性的因素

类别 因素 分项 分值
威胁 技术要求 无需技能 1
需要一些技术 3
高级的计算机用户 4
需要网络和编程技术 6
需要安全渗透技术 9
成功攻击后攻击者的益处 很低或无益 1
可能会有回报 4
高回报 9
所需资源或机会 需要很大资源或高权限访问 0
需要特定的访问权限和特定的资源 4
需要一些访问权限和资源 7
无需权限或资源 9
所需的攻击者的角色 开发者 2
系统管理员 2
内部用户 4
合作伙伴 5
认证用户 6
匿名Internet用户 9
脆弱性 发现该弱点的难易度 技术上不可行 1
困难 3
容易 7
可用自动化工具发现 9
利用该弱点的难易度 只是理论上的 1
困难 3
容易 5
可用自动化工具实现 9
该弱点的流行度 不为人知 1
隐藏 4
明显 6
公众皆知 9
入侵被察觉的可能性 应用程序主动检测 1
记录日志并审核 3
记录日志未审核 8
无日志 9

3. 考虑影响后果的因素

类别 因素 分项 分值
技术

后果

保密性损失 极少的非敏感数据被泄露 2
极少的关键数据被泄露 6
大量的非敏感数据被泄露 6
大量的敏感数据被泄露 9
完整性损失 极少的轻微数据破坏 1
极少的严重数据破坏 3
大量的轻微数据破坏 5
大量的严重数据破坏 7
所有数据被破坏 9
可用性损失 极少的次要服务中断 1
极少的主要服务中断 5
大量的次要服务中断 5
大量的主要服务中断 7
所有服务中断 9
不可抵赖性损失 可完全追踪到攻击者 1
可能追踪到攻击者 7
不可能追踪到攻击者 9
商业

后果

经济损失 少于修复漏洞费用 1
对年度利润影响较小 3
对年度利润影响很大 7
破产 9
声誉损失 极少的损害 1
损失主要客户 4
损失信誉 5
品牌受损 9
触犯法律法规 轻度触犯法律法规 2
严重触犯法律法规 5
非常严重触犯法律法规 7
隐私侵犯 侵犯某一个人的隐私 3
侵犯上百人的隐私 5
侵犯上千人的隐私 7
侵犯上百万人的隐私 9

 

OWASP风险评级方法

Contents

目录:
•   1 The OWASP Risk Rating Methodology
•   1.OWASP  风险评级方法论
•   2 Approach
•   2. 方法
•   3 Step 1: Identifying a Risk
•   3. 步骤一:确定风险类别
•   4 Step 2: Factors for Estimating Likelihood
•   4. 步骤二:评估可能性的因素
o  4.1 Threat Agent Factors
o  4.1  威胁来源因素
o  4.2 Vulnerability Factors
o  4.2  脆弱性因素
•   5 Step 3: Factors for Estimating Impact
•   5. 步骤三:评估影响的因素
o  5.1 Technical Impact Factors
o  5.1  技术影响因素
o  5.2 Business Impact Factors
o  5.2  业务影响因素
•   6 Step 4: Determining the Severity of the Risk
•   6  步骤四:  确定风险的严重程度
o  6.1 Informal Method
o  6.1  非正式的方法
o  6.2 Repeatable Method
o  6.2  重复方法
o  6.3 Determining Severity
o  6.3  确定严重程度
•   7 Step 5: Deciding What to Fix
•   7  步骤七:  决定修复内容
•   8 Step 6: Customizing Your Risk Rating Model
•   8  步骤八:  自定义您的风险评级模型
o  8.1 Adding factors
o  8.1  增加因素
o  8.2 Customizing options
o  8.2  自定义选项
o  8.3 Weighting factors
o  8.3  因素加权
9 References
9  参考
阅读地址:http://wenku.baidu.com/view/04ace58c680203d8ce2f2455.html
下载地址:http://115.com/file/anm79hyt#OWASP风险评级方法.pdf
本文转自冠威博客,由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。