Zakładając, że Michał Wiczyński na swoim blogu ma racje to wygląda na to, że zmienia się optyka ludzi zainteresowanych bezpieczeństwem lub trafił na taką próbkę populacji, która miała potrzebę usystematyzowania nomenklatury związanej z zarządzaniem ryzykiem. Co ciekawe wyszukiwarka Google'a skierowała kilka osób na mój blog z hasłem: "roznica miedzy podatnoscia a zagrozeniem". Odpowiadając na pytanie wheelq'a napiszę co moim zdaniem oznaczają następujące słowa na przykładzie XSS'a.
Podatność - np. brak walidacji danych wejściowych, brak encodingu danych wyjściowych
Zagrożenie - np. przejęcie tożsamości użytkownika aplikacji
Skutek - np. zapoznanie się z historią transakcji użytkownika, któremu skradziono ciastko sesyjne
Ryzyko - prawdopodobieństwo, że ktoś stworzy zagrożenie wykorzystując podatność o mniej lub bardziej dokładnie określonych skutkach
Jak można zauważyć zarządzanie ryzykiem operując na takich parametrach może być dość trudne. Na pomoc przychodzą inne metody wyliczania ryzyka. Ich spis można zobaczyć na wiki OWASP - Threat Risk Modeling. Żeby nie duplikować dobrego wpisu Pawła Golenia polecam jego analizę metodyki DREAD - DREAD by wampir.
Subskrybuj:
Komentarze do posta (Atom)
2 komentarze:
Dziękuję za odsyłacz na mój blog :) Ja tylko dodam, że też odczuwam pewien chaos pojęciowy w tym zakresie. W szczególności co do pojęcia "zagrożenia".
Stwierdziłem, że lepiej tego nie napiszę to szkoda czasu na siłowanie się przez weekend - stąd link do Twojego opisu :)
Mam taką teorię, że pojęcia związane z zarządzaniem ryzykiem/analizą ryzyka dobrze wyglądają kiedy używane są razem, w pojedynkę wypadają trochę gorzej - mniej zrozumiale.
Prześlij komentarz