Использует ли сценарий "наихудшего случая" для аспекта вероятности риска, подходящий для оценки рисков OWASP?
Наш обозреватель кода отметил, что риск - это и воздействие, и вероятность, и вероятность должна быть оценена с использованием "наихудшего случая", и это было задокументировано в документации OWASP здесь: https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology
Кто-нибудь согласен с этим мнением?
2 ответа
Шаг 1: Определение риска предлагает использовать сценарии наихудшего случая.
Шаг 2: Факторы для оценки вероятности также предлагают использовать сценарии наихудшего случая.
Шаг 3: Факторы для оценки воздействия не включают в себя сценарии наихудшего случая.
Поэтому для вероятности целесообразно использовать наихудшие сценарии. Однако то, что составляет "наихудший случай", может быть субъективным и, вероятно, спорным.
Крайним примером "наихудшего случая" может быть ваш злоумышленник, спонсируемый государством. Они уже разработали коллекцию автоматизированных инструментов для обнаружения и использования угроз. У них есть несколько шпионов, работающих на вашу компанию, поэтому они знают об уязвимостях. Они также знают, как отключить или обойти вашу систему обнаружения вторжений.
Надеемся, что лицо, применяющее такой рейтинг риска, будет использовать здравый смысл версии "худшего случая".
На мой взгляд, и если вы внимательно прочитаете, наихудший случай касается только агентов с множественными угрозами, поэтому используйте наихудший случай. Предполагать, что вероятность в целом должна быть наихудшей, означает, что это не вероятность, а наихудший случай. Это очень разные вещи.
Если вы читаете первый абзац, он упоминает, что вероятность - это грубая мера того, насколько вероятно, что эта уязвимость будет раскрыта.
Во-вторых, вы смешиваете уязвимость и риск, когда конечным показателем всегда является риск.
Я был бы признателен за поддержку этого ответа, поэтому я могу вернуться к рецензенту кода и показать ему, что он неправильно понял вероятность OWASP.