Documentos de Académico
Documentos de Profesional
Documentos de Cultura
https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
Descubrir vulnerabilidades es importante, pero poder estimar el riesgo asociado para el negocio es igual de importante. Al principio del ciclo de vida, uno
puede identificar problemas de seguridad en la arquitectura o el diseño mediante el uso de modelos de amenazas. Más tarde, uno puede encontrar
problemas de seguridad mediante la revisión de código o las pruebas de penetración. O es posible que no se descubran problemas hasta que la aplicación
esté en producción y se vea comprometida.
Siguiendo el enfoque aquí, es posible estimar la gravedad de todos estos riesgos para el negocio y tomar una decisión informada sobre qué hacer con
respecto a esos riesgos. Tener un sistema para calificar los riesgos ahorrará tiempo y eliminará las discusiones sobre las prioridades. Este sistema ayudará
a garantizar que la empresa no se distraiga con riesgos menores, al tiempo que ignora los riesgos más graves que se entienden menos.
Idealmente, habría un sistema de calificación de riesgo universal que estimaría con precisión todos los riesgos para todas las organizaciones. Pero una
vulnerabilidad que es crítica para una organización puede no ser muy importante para otra. Aquí se presenta un marco básico que debe ser personalizado
para la organización en particular.
Los autores se han esforzado por hacer que este modelo sea fácil de usar, manteniendo suficientes detalles para realizar estimaciones precisas de riesgo.
Consulte la sección a continuación sobre personalización para obtener más información sobre cómo adaptar el modelo para su uso en una organización
específica.
Riesgo: Ejecuten Comandos arbitrarios
Probabilidad
Factores de agente de amenaza Factores de vulnera
Facilidad para
Nivel de habilidad Motivo Oportunidad Tamaño Descubrir
1 - Detección activa
1 - Teoricamente 1 - Desconocido en aplicación
JO
Impacto de negocio
Daño en Violación de
Reputación No cumplimiento Privacidad
Niveles de probabilidad e
impacto
0 to <3 BAJO
3 to <6 MEDIO
6 to 9 ALTO
Nivel de Habilidad Motivo Oportunidad Tamaño
Se requiere acceso
completo o recursos
0 caros
No requiere habilidades
1 tecnicas Recompensa baja o nula
Desarrolladores,
administradores de
2 sistemas
Algunas Habilidades
3 tecnicas
Acceso especial o
4 Posible recompensa recursos requeridos Usuarios de intranet
Uso Avanzado de
5 computadoras Partners
Habilidades en Redes y
6 Programación Usuarios autenticados
Detección activa en
Practicamente Imposible Teoricamente Desconocido aplicación
Oculto
Facil
Ovio
Facil
Disponible desde
Disponible desde herramientas
herramientas automizadas automizadas Conocimiento Publico No Loegado
Perida de Confidencialidad Perdida de IntegridadPerdida de Disponibil Pérdida de responsabi
Servicios primarios
mínimos interrumpidos,
Amplios datos servicios secundarios
Extensos datos críticos revelados ligeramente corruptos extensivos interrumpidos
violación menor
Efecto menor en la
ganancia anual. Un individuo
Pérdida de cuentas
importantes
Pérdida de buena
voluntad Clara violación cientos personas
Efecto significativo en la
ganancia anual Violación de alto nivel Miles Personas