"Tempo medio di tempo durante il quale una vulnerabilità annunciata ha uno sfruttamento diffuso", T
"Attrattività del server come target", A
, su una scala qualitativa di 1-5 (numero più elevato che rappresenta più attrattiva).
"Facilità di utilizzo", E
, utilizzando il punteggio CVE come base del confronto comune
(T/A) x E = N
Considerando che T è ora considerato misurato in giorni ( pagina 1- 2 ), N
può essere molto breve, in effetti.
Questo è il motivo per cui le tecniche di mitigazione sono importanti, dove i venditori di AV e IDS sono più veloci nell'implementare il rilevamento degli exploit annunciati rispetto agli operatori che li stanno riparando.
Modifica
Ho pensato che stavo utilizzando una variazione delle formule di rischio InfoSec standard e quindi ho pensato di proporre quanto sopra come trampolino di lancio per la discussione. Ma, sono anche felice di scavare attraverso il mio materiale per fornire riferimenti a dove il quadro di cui sopra viene e le mie giustificazioni per modificarli.
Primo: Dillard, K., Pfost J., Guida alla gestione dei rischi per la sicurezza , Microsoft Press, 2004
Secondo: Munteanu, A., Valutazione dei rischi per la sicurezza delle informazioni: il dilemma qualitativo e quantitativo , gestione delle informazioni nell'economia digitale: problemi e amp; Soluzioni 227
Dillard propone la seguente formula per calcolare il livello di frequenza delle minacce:
TFL = TP × (C / E)
Dove:
TP
= Probabilità di minaccia
C
= Criticità di attacco
E
= Sforzo da sfruttare
Munteanu critica l'approccio di Dillard, affermando che non include un elemento temporale, in particolare il "tempo medio di rilascio delle procedure tecniche per ridurre o accettare la minaccia", che Munteanu chiama una delle variabili di Exposure Time
. direttamente pertinente alla domanda dell'OP relativa al "time to patch". Poiché il TFL è un fattore qualitativo, e il tempo è un fattore quantitativo che deve essere una relazione diretta, un approccio moltiplicativo sembra appropriato.
Quindi, utilizzando una combinazione della formula originale di Dillard e la modifica proposta da Munteanu per calcolare un livello di frequenza delle minacce basato sul tempo storico per la patch, arriviamo a:
TFLp = TP x (C / E) x ET
Prendendo lo stesso modello e calcolando invece il TFL basato su patching (basato su dati storici sul tempo di patch), ma invece di sostituire la variabile temporale con il tempo medio per lo sfruttamento diffuso (WE), possiamo calcolare il TFL per lo sfruttamento:
TFLe = TP x (C / E) x WE
In che modo questo si applica alla formula originale scritta frettolosamente? Innanzitutto, possiamo equiparare la mia scala di "Attrattività" alla "Probabilità di minaccia" di Dillard. La probabilità viene misurata come un rapporto (un numero compreso tra 0 e 1). Per rappresentare correttamente la relazione se abbiamo modificato TP in una scala da 1 a 5, dovremmo cambiarlo da diretto a inverso, quindi:
TFLe = (C / E) x WE / A
In secondo luogo, lo "sforzo" di Dillard (E) è inverso rispetto al mio "Ease" (E), quindi anche la relazione deve cambiare:
TFLe = C x E x (WE / A)
Accettare che% co_de di Dillard è il mio WE
e che "Criticità" non è un problema dell'OP:
T
Che sembra sospettosamente come la mia formula originale ...
La mia formula originale è matematicamente esattamente simile alle formule di Dillard / Munteanu? No certo che no. Ma penso che il mio serva da utile semplificazione dei concetti generali.