整体流程
风险评估主要参考威胁的可能性以及威胁发生可能造成的影响,根据二者得出一个评估结果,即风险等级,根据该评估结果确定不可容忍的风险等级,当然不可容忍的尺度不同的OEM可能在某些细节上是不一样的,这个需要Tier1安全团队和OEM的安全团队协商,定制出不可容忍的风险等级。一般来说,高风险是一定需要处理的,迷惑点主要在于medium,这个见仁见智了,个人觉得medium的风险等级可以综合CVSS、OWASP等的评级子项重新进行评估,在medium中重新分优先级。类似的,对于low的风险等级,如果OEM要求需要处理,ps:谁叫别人是金主爸爸嘞,也可以综合CVSS、OWASP等的评级子项重新评估。
- 风险评级主要目的是为了对列出的威胁进行排序,列出哪些是需要优先考虑的,哪些是可以稍后考虑的,以及在目前的技术条件下是可以不考虑的;
- 评级的结果不是固定的,我们需要安全人员不断的follow各类漏洞库(典型的漏洞库如NVD、国家漏洞库)、近十年发生的汽车攻击事件、各种安全论坛(看雪、freebuf等)、与研发人员及其他相关人员头脑风暴来不断完善评级结果;
likelihood
根据威胁,按照上面的4个子项进行打分,得出一个综合分数(TL参数值总和),得出对应的TL数值:
impact
根据威胁,参考上面4个参考子项得出一个综合值(影响等级参数总和),进而得出IL分值。上面的图是自己翻译3061得出的,有标准的崽可以详细参考3061,翻译这玩意,每个人都是哈姆莱特。
result
根据威胁等级和影响等级我们可以得出风险等级,QM一般是不需要处理的,high是一定需要处理的,low和medium,还是建议通过其他的评级手段综合考虑。再次强调一下,一定要跟OEM这些金主爸爸们确定,不然这锅背不起啊。