| OWASP是一个针对Web应用安全方面的研究组织,其推荐的OWASP风险评估方法分成以下步骤:
|
|
|
| 步骤一,确定风险类别(Identifying a Risk)。
|
|
|
| 收集攻击者、攻击方法、利用漏洞和业务影响方面的信息,确定评级对象的潜在风险。
|
|
|
| 步骤二,评估可能性的因素(Factors for Estimating Likelihood)。
|
|
|
| 从攻击者因素、漏洞因素分析安全事件出现的可能性。攻击者因素主要包括技术水平、动机、机会和成本;漏洞因素则包括漏洞的发现难易程度、漏洞的利用难易程度、漏洞的公开程度、漏洞利用后入侵检测。
|
|
|
| 步骤三,评估影响的因素(Factors for Estimating Impact)。
|
|
|
| 评估影响的因素主要有技术影响因素、业务影响因素。技术影响因素包括保密性、完整性、可用性、问责性等方面的损失;业务影响因素包括金融财务损失、声誉损失、不合规损失、侵犯隐私损失等。
|
|
|
| 步骤四,确定风险的严重程度(Determining the Severity of the Risk)。
|
|
|
| 把可能性评估和影响评估放在一起,计算风险的总体严重程度。可能性评估和影响评估分成0~9的级别,如下表所示。
|
|
|
|
|
|
|
| 如果要让评估结果更可靠,可分别考虑可能性评估和影响评估。
|
|
|
| 将可能性评估中的攻击者因素和漏洞因素按照0~9分进行评估,如下表所示。
|
|
|
|
|
|
|
| 将影响评估中的技术影响因素和业务影响因素按照0~9分进行评估,如下表所示。
|
|
|
|
|
|
|
| 结合上述的可能性评估和影响评估的结果,OWASP风险整体评估如下表所示,风险等级分为注意、低、中、高、关键。
|
|
|
|
|
|
|
| 步骤五,决定修复内容(Deciding What to Fix)。
|
|
|
| 将应用程序的风险分类,获得以优先级排列的修复列表。一般规则是首先修复最严重的风险。即使解决那些简单且低成本的不太重要的风险,也无助于改善整个应用程序的风险状况。
|
|
|
| 步骤六,定制合适的风险评级模型(Customizing Your Risk Rating Model)。
|
|
|
| 根据评估对象,调整模型使其与风险评级准确度相一致。例如,可以添加可能性的因素,如攻击者机会窗口、加密算法强度等。根据自身的业务安全需求,增加权重因素调整风险值的计算。
|
|
|
