DREAD es parte de un sistema para evaluar riesgos de amenazas a la seguridad informática utilizado anteriormente en Microsoft, fue abandonado por sus creadores. [1] Proporciona un mnemotécnico para calificar el riesgo de amenazas de seguridad utilizando cinco categorías.
El nombre DREAD proviene de las iniciales de las cinco categorías enumeradas. Inicialmente se propuso para el modelado de amenazas , pero se descubrió que las calificaciones no son muy consistentes y están sujetas a debate. Estaba fuera de uso en Microsoft en 2008. [2]
Cuando una amenaza determinada se evalúa mediante DREAD, a cada categoría se le otorga una calificación del 1 al 10. [3] La suma de todas las calificaciones para un problema determinado se puede usar para priorizar entre diferentes problemas.
Algunos expertos en seguridad sienten que incluir el elemento "Discoverability" como la última D recompensa la seguridad a través de la oscuridad , por lo que algunas organizaciones se han movido a una escala DREAD-D "DREAD menos D" (que omite Discoverability) o siempre asumen que Discoverability está en su punto más alto. calificación máxima. [4] [5]