OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) is een beveiligingsraamwerk voor het bepalen van het risiconiveau en het plannen van verdedigingen tegen cyberaanvallen. Het raamwerk definieert een methodologie om organisaties te helpen de blootstelling aan waarschijnlijke bedreigingen te minimaliseren, de waarschijnlijke gevolgen van een aanval te bepalen en om te gaan met aanvallen die slagen.
OCTAVE is ontworpen om gebruik te maken van de ervaring en expertise van mensen binnen de organisatie. De eerste stap is het opstellen van profielen van bedreigingen op basis van het relatieve risico dat zij vormen. Het proces gaat verder met het uitvoeren van een kwetsbaarheidsbeoordeling die specifiek is voor de organisatie.
OCTAVE definieert drie fasen:
- Fase 1: Bouw op activa gebaseerde dreigingsprofielen
- Fase 2: Identificeer kwetsbaarheden van de infrastructuur
- Fase 3: Ontwikkel beveiligingsstrategie en -plannen
OCTAVE is in 2001 ontwikkeld aan de Carnegie Mellon University (CMU), voor het Amerikaanse ministerie van Defensie. Het raamwerk heeft sindsdien verschillende evolutieve fasen doorgemaakt, maar de basisprincipes en doelstellingen zijn hetzelfde gebleven. Er bestaan twee versies: OCTAVE-S, een vereenvoudigde methodologie voor kleinere organisaties met vlakke hiërarchische structuren, en OCTAVE Allegro, een meer uitgebreide versie voor grote organisaties of organisaties met structuren op meerdere niveaus.
Kritiek op OCTAVE heeft betrekking op de complexiteit en het feit dat het geen gedetailleerde kwantitatieve analyse van de blootstelling aan veiligheid oplevert.