Esistono alcune formule per le vulnerabilità di sicurezza di valutazione del rischio, come la formula DREAD (Danno, Riproducibilità, Exploitability, Utenti interessati, Discoverability - vota il vuln in ogni categoria su una scala da 1 a 10, quindi aggiungile tutte ). C'è qualche prova che questi funzionano meglio di avere solo un professionista della sicurezza guarda la vulnerabilità nel suo insieme e dire: "Sì, su una scala da 1 a 5, gli do un 3"?
Ecco perché sono scettico: le volte che una formula è utile è quando sto facendo qualcosa che è fuori dalla mia area di competenza, come comprare un'auto usata, perché non so nulla di ciò che le auto sono di valore. Quindi probabilmente finirò per usare una formula che ha coinvolto la marca e il modello dell'auto, il numero di miglia e qualsiasi danno visibile.
Ma nel valutare le vulnerabilità della sicurezza, presumibilmente la determinazione della severità verrà fatta da qualcuno che ha una buona intuizione di quanto sia grave una vulnerabilità. Nella maggior parte dei casi che ho visto, quando due esperti hanno giudicato indipendentemente la gravità di una vulnerabilità, si sono avvicinati alla stessa risposta. E quando non erano d'accordo, certamente non avrebbero risolto il disaccordo osservando la formula: la persona la cui valutazione era diversa dalla formula, direbbe semplicemente che questa è una delle volte in cui la formula non lo fa lavoro. Quindi non so qual è il punto della formula. Le formule sono utili quando i non esperti devono prendere una decisione, ma le persone che prendono decisioni sulle vulnerabilità della sicurezza non dovrebbero essere non esperti!
Quindi ci sono prove che le formule siano state utili, rispetto all'approccio intuitivo? Abbastanza aperto su ciò che conta come "evidenza", ma penso ad esempio se una società ha provato l'approccio intuitivo una volta, e ha provato l'approccio della formula una volta, e ha trovato che uno ha funzionato meglio dell'altro.