La "découvrabilité = faible" est-elle une raison acceptable pour réduire le risque de vulnérabilité?

Une faible découvrabilité ne signifie pas nécessairement "sécurité par obscurité". Cela pourrait simplement signifier que la vulnérabilité réside dans une partie des fonctionnalités rarement étudiées. Cela pourrait également signifier que la découverte nécessiterait un cas de coin si étroit que même la découverte initiale ne se serait probablement jamais produite. De tels exemples seraient Dirty COW et Spectre/Meltdown , qui ont tous deux mis près d'une décennie à être remarqués.

D'un autre côté, une faible découvrabilité ne doit pas nécessairement signifier une faible priorité . Si une vulnérabilité à faible découvrabilité est signalée, d'autres facteurs doivent être pris en considération - tels que l'impact et la facilité d'exploitation - pour déterminer une réponse appropriée. En fait, de telles considérations expliquent exactement pourquoi des scores de notation de risque comme DREAD et CVSS existent. Cependant, comme discuté dans les commentaires, la "découvrabilité" peut seulement avoir un sens dans le contexte d'une divulgation privée . Si une vulnérabilité est déjà publique, la détectabilité est essentiellement de 100% et n'est plus un facteur pertinent.

Je suis du côté qui n'aime pas l'utilisation de la découvrabilité. Il est mal défini et pour une définition donnée, les gens sont particulièrement mal à deviner une mesure pour cela.

Il existe une mesure du temps et de l'attention à laquelle chaque logiciel est vulnérable, et chaque vulnérabilité, y compris celles que vous ne connaissez pas, est détectable.

Il y a des gens qui connaissent vraiment leur surface d'attaque et leurs acteurs de menace, et peuvent peut-être donner une bonne estimation d'une certaine signification de la découvrabilité, mais ce n'est pas le cas commun, et il est trop facile d'être surpris.

J'ai observé des organisations ayant des vulnérabilités terribles qui se cachent à la vue de tous et qui ne sont jamais attaquées, peut-être parce qu'il y a toujours des fruits pendants plus bas.

De plus, j'ai remarqué que ce que de nombreux dirigeants pensent lorsqu'ils ont l'intuition d'une mesure de "découvrabilité" est: à quel point est-ce mauvais pour moi si nous sommes compromis à cause de cela, où une extrémité de ce spectre est Equifax (perdez votre travail et tout le reste) ), et l'autre extrémité est un oops, désolé, le coût de faire des affaires. Cette intuition en soi n'est pas nécessairement une mauvaise façon d'établir des priorités, mais elle n'a rien à voir avec une définition raisonnable de la "découvrabilité".

Je ne pense donc pas que cela devrait avoir un rôle.

Oui. Bien que DREAD soit obsolète, d'autres modèles incluent des concepts similaires et les définissent de manière plus rigide. Dans FAIR, par exemple, l'aspect Vulnérabilité est déterminé comme le rapport entre la capacité de menace et la difficulté, où la capacité de menace signifie à quel point votre menace spécifique est capable (sur une échelle de 1 à 100) tandis que la difficulté signifie la barrière qu'elle doit surmonter pour être surmontée. réussi (sur une échelle de 1 à 100). Le fait que vous ayez besoin de connaissances considérables pour découvrir la faiblesse exploitable ajouterait quelques points à la difficulté.

La raison pour laquelle la découvrabilité est supprimée à juste titre de DREAD est qu'elle est l'un des nombreux facteurs d'un sous-aspect d'un sous-aspect du risque. Il ne mérite pas le statut de premier ordre qu'il a dans DREAD. Une faible découvrabilité assomme les attaquants de bas niveau et a peu d'effet sur les attaquants plus qualifiés.

De plus, DREAD est une méthode d'évaluation qualitative. En tant que tel, même un ou deux points dans n'importe quelle catégorie peuvent déplacer le résultat dans une "boîte" différente, exagérant encore l'effet. Dans un modèle statistique ou quantitatif approprié, l'effet est beaucoup plus progressif.