Il modello di rischio DREAD obsoleto ( wikipedia ) elenca la Discoverability come criterio per giudicare la gravità di una vulnerabilità . L'idea è che qualcosa che non è pubblicamente conosciuto e che difficilmente scoprirai senza una profonda conoscenza dell'applicazione in questione non richiede tanto panico quanto, ad esempio, qualcosa con un CVE pubblicato (supponendo che non ci siano prototipi di attacco di pubblicazione, dal momento che sanguina nella metrica Exploitablility).
Ho notato che CVSS v3.0 non ha una metrica per quanto probabile sia la scoperta indipendente della vulnerabilità.
Wikipedia ha questo da dire:
Discoverability debate
Some security experts feel that including the "Discoverability" element as the last D rewards security through obscurity, so some organizations have either moved to a DREAD-D "DREAD minus D" scale (which omits Discoverability) or always assume that Discoverability is at its maximum rating.
Quindi la mia domanda è fondamentalmente: a parte l'ovvio "sicurezza dell'oscurità è male", quali sono gli argomenti a favore e contro l'utilizzo di Discoverability come parte di un'analisi del rischio?