面對數以百計的漏洞,資安團隊最大的挑戰不是「如何修」,而是「先修哪個」。 DREAD 模型 透過五個量化維度,將模糊的風險感受轉化為可比較的數字,讓修補決策有所依據。 什麼是 DREAD?五大維度拆解 DREAD 是由微軟提出的威脅評分框架,名稱來自五個英文維度的縮寫。每個維度以 1 到 10 分 獨立評分,最終取平均或加總,得出該威脅的風險指數。 D — Damage(損害程度) :漏洞一旦被利用,對系統或資料造成多大傷害?資料全毀得 10 分,輕微影響得 1 分。 R — Reproducibility(重現性) :攻擊者能否每次穩定複現攻擊?100% 成功率得 10 分。 E — Exploitability(可利用性) :利用此漏洞需要多少技術門檻?腳本小子可執行得 10 分,需高度專業得 1 分。 A — Affected Users(受影響用戶) :有多少比例的用戶受影響?全體用戶得 10 分。 D — Discoverability(可發現性) :攻擊者找到此漏洞的難易度?公開已知得 10 分,深藏內部得 1 分。 如何應用 DREAD 排定修補優先序 評分後,將五項分數 加總除以 5 得出平均風險分數(Risk Score)。通常以 7 分以上 視為高風險,須優先處理;4–6 分為中風險,排入常規修補週期;3 分以下可延後處理。 實務上,團隊可為每個已知漏洞建立評分表,讓不同成員獨立打分再取平均,減少個人主觀偏差。DREAD 特別適合在 Threat Modeling(威脅建模) 階段整合使用,與 STRIDE 模型相輔相成:STRIDE 識別威脅類型,DREAD 量化其嚴重性。 # DREAD 風險分數計算(Python 範例) scores = {"Damage": 9, "Reproducibility": 8, "Exploitability": 7, "Affected_Users": 10, "Discoverability": 6} risk_score = sum(scores.values()) / len(scores) print(f"D...