「発見可能性=低」は、脆弱性のリスクを低減するための許容可能な理由ですか？

発見可能性が低いからといって、必ずしも「あいまいなセキュリティ」という意味ではありません。脆弱性は、これまで調査されたことのない機能の一部に深く存在することを意味するだけかもしれません。また、発見にはinitial発見でさえ起こり得ないほど狭いケースが必要になることも意味します。そのような例は Dirty COW と Spectre/Meltdown で、どちらも注目されるまでに約10年かかりました。

一方、低い発見可能性は必ずしも低い優先度を意味するわけではありません。発見可能性の低い脆弱性が報告された場合、適切な対応を決定する際に、影響や悪用の容易さなどの他の要因を考慮する必要があります。実際、そのような考慮事項が、DREADやCVSSなどのリスクレーティングスコアが存在する理由です。ただし、コメントで説明されているように、「発見可能性」はprivate開示のコンテキストでのみ意味を持つ場合があります。脆弱性がすでに公開されている場合、発見可能性は本質的に100％であり、関連する考慮事項ではなくなります。

私は発見可能性の使用を好まない側にいます。それは不十分に定義されており、特定の定義については、人々はそれに対する尺度を推測するのが特に苦手です。

すべてのソフトウェアが脆弱である時間と注意の尺度が存在し、あなたが知らないものを含め、すべての脆弱性が発見可能です。

攻撃対象領域と脅威のアクターを本当に知っており、発見可能性のある意味を適切に推定できる人もいますが、これは一般的なケースではなく、驚くほど簡単ではありません。

私は、攻撃されないような目に見えないところにひどい脆弱性を隠している組織を観察しました。

また、「発見可能性」の測定を導入する際に多くの幹部が考えることは、これが原因で私たちが危険にさらされている場合、私にとってどれほど悪いことかを観察しました。 ）、そしてもう一方の端はおっと、申し訳ありませんが、ビジネスを行うためのコストです。その直感自体は必ずしも優先順位を付けるのに悪い方法ではありませんが、「発見可能性」の合理的な定義とは関係ありません。

だから私はそれが役割を果たすべきではないと思います。

はい。 DREADは古くなっている可能性がありますが、他のモデルには同様の概念が含まれ、より厳密に定義されています。たとえば、FAIRでは、脆弱性の側面は、脅威の能力と難易度の比率として決定されます。ここで、脅威の能力とは、特定の脅威の能力（1から100のスケール）を意味し、難易度は、そのために克服する必要がある障壁を意味します。成功しました（1〜100のスケール）。悪用可能な弱点を発見するにはかなりの知識が必要であるという事実は、難易度にいくつかのポイントを追加します。

DiscoverabilityがDREADから正しく削除された理由は、それがリスクのサブアスペクトのサブアスペクトの多くの要因の1つであるためです。それはDREADで持っている一次の地位に値しません。発見可能性が低いと、低レベルの攻撃者がノックアウトされ、より熟練した攻撃者にはほとんど影響がありません。

また、DREADは定性的評価方法です。そのため、どのカテゴリの1つまたは2つのポイントでも、結果を別の「ボックス」にシフトして、効果をさらに誇張することができます。適切な統計的または定量的モデルでは、効果ははるかに緩やかです。