"Discoverability = low" è un motivo accettabile per ridurre il rischio di una vulnerabilità?

Scarsa rilevabilità non significa necessariamente "sicurezza per oscurità". Potrebbe semplicemente significare che la vulnerabilità si trova in una porzione di funzionalità raramente studiata. Potrebbe anche significare che la scoperta richiederebbe un caso angusto così stretto che persino la scoperta iniziale sarebbe stata improbabile che fosse mai accaduta. Tali esempi potrebbero essere Dirty COW e Spectre / Meltdown , entrambi i quali hanno impiegato quasi un decennio per essere notati.

D'altra parte, bassa rilevabilità non dovrebbe significare necessariamente priorità bassa . Se viene segnalata una vulnerabilità con bassa rilevabilità, altri fattori dovrebbero essere presi in considerazione, come l'impatto e la facilità di utilizzo, nel determinare una risposta appropriata. In effetti, tali considerazioni sono esattamente il motivo per cui esistono punteggi di valutazione del rischio come DREAD e CVSS. Tuttavia, come discusso nei commenti, la "rilevabilità" può avere significato solo nel contesto di una divulgazione privata . Se una vulnerabilità è già pubblica, la rilevabilità è essenzialmente al 100% e non è più una considerazione pertinente.

Sono dalla parte che non mi piace l'utilizzo della rilevabilità. E 'mal definito e per ogni definizione data, le persone sono particolarmente cattive a indovinare su una misura per questo.

Esiste una misura del tempo e dell'attenzione a cui ogni pezzo di software è vulnerabile, e ogni vulnerabilità, incluse quelle che non conosci, è rilevabile.

Ci sono persone che conoscono davvero la loro superficie di attacco e i loro attori delle minacce e possono forse dare una buona stima di un certo significato di scopribilità, ma questo non è il caso comune ed è troppo facile essere sorpresi.

Ho osservato org con terribili vulnerabilità nascoste in bella vista che non vengono mai attaccate, forse perché c'è sempre meno frutta sospesa.

Inoltre, ho osservato che ciò che molti dirigenti pensano quando intuiscono una misura di "rilevabilità" è quanto sia grave per me se siamo compromessi a causa di ciò, dove una estremità di tale spettro è Equifax (perdere il lavoro e tutto il resto), e l'altra estremità è un oops, mi dispiace, il costo di fare affari. Questa intuizione di per sé non è necessariamente un cattivo modo per stabilire le priorità, ma non ha nulla a che fare con una definizione ragionevole di "scopribilità".

Quindi non penso che dovrebbe avere un ruolo.

Sì. Mentre DREAD potrebbe essere obsoleto, altri modelli includono concetti simili e li definiscono più rigidamente. In FAIR, ad esempio, l'aspetto Vulnerabilità è determinato come il rapporto tra Capacità della minaccia e Difficoltà dove Capacità della minaccia indica quanto è capace la tua specifica minaccia (su una scala da 1 a 100) mentre Difficoltà significa la barriera che deve superare per essere riuscito (su una scala da 1 a 100). Il fatto che tu abbia bisogno di una conoscenza considerevole per scoprire la debolezza sfruttabile aggiungerebbe alcuni punti alla difficoltà.

La ragione per cui Discoverability è giustamente sganciata da DREAD è che è uno dei molti fattori di un subaspect di una sub-copertura del rischio. Non merita la posizione di primo ordine che ha in DREAD. Una bassa rilevabilità elimina gli attaccanti di basso livello e ha scarso effetto sugli aggressori più esperti.

Inoltre, DREAD è un metodo di valutazione qualitativo . Pertanto, anche uno o due punti in qualsiasi categoria possono spostare il risultato in una "scatola" diversa, esagerando ulteriormente l'effetto. In un adeguato modello statistico o quantitativo, l'effetto è molto più graduale.