Le modèle de risque DREAD obsolète ( wikipedia ) répertorie la découvrabilité comme critère pour juger de la gravité d'une vulnérabilité. L'idée étant que quelque chose qui n'est pas connu du public et que vous auriez peu de chances de découvrir sans une connaissance approfondie de l'application en question n'a pas besoin d'autant de panique que, par exemple, quelque chose avec un CVE publié (en supposant qu'il n'y ait pas de prototypes d'attaque de publication, car cela saigne dans la métrique d'exploitabilité).
Je remarque que CVSS v3. n'a pas de mesure de la probabilité de découverte indépendante de la vulnérabilité.
Wikipedia a ceci à dire:
Débat sur la découvrabilité
Certains experts en sécurité estiment que l'inclusion de l'élément "découvrabilité" comme dernier D récompense la sécurité par l'obscurité, de sorte que certaines organisations sont passées à une échelle DREAD-D "DREAD moins D" (qui omet la découvrabilité) ou supposent toujours que la découvrabilité est à son apogée. cote maximale.
Donc, ma question est essentiellement: en dehors de la très évidente "la sécurité par l'obscurité est mauvaise", quels sont les arguments pour et contre l'utilisation de la découvrabilité dans le cadre d'une analyse des risques?
Une faible découvrabilité ne signifie pas nécessairement "sécurité par obscurité". Cela pourrait simplement signifier que la vulnérabilité réside dans une partie des fonctionnalités rarement étudiées. Cela pourrait également signifier que la découverte nécessiterait un cas de coin si étroit que même la découverte initiale ne se serait probablement jamais produite. De tels exemples seraient Dirty COW et Spectre/Meltdown , qui ont tous deux mis près d'une décennie à être remarqués.
D'un autre côté, une faible découvrabilité ne doit pas nécessairement signifier une faible priorité . Si une vulnérabilité à faible découvrabilité est signalée, d'autres facteurs doivent être pris en considération - tels que l'impact et la facilité d'exploitation - pour déterminer une réponse appropriée. En fait, de telles considérations expliquent exactement pourquoi des scores de notation de risque comme DREAD et CVSS existent. Cependant, comme discuté dans les commentaires, la "découvrabilité" peut seulement avoir un sens dans le contexte d'une divulgation privée . Si une vulnérabilité est déjà publique, la détectabilité est essentiellement de 100% et n'est plus un facteur pertinent.
Je suis du côté qui n'aime pas l'utilisation de la découvrabilité. Il est mal défini et pour une définition donnée, les gens sont particulièrement mal à deviner une mesure pour cela.
Il existe une mesure du temps et de l'attention à laquelle chaque logiciel est vulnérable, et chaque vulnérabilité, y compris celles que vous ne connaissez pas, est détectable.
Il y a des gens qui connaissent vraiment leur surface d'attaque et leurs acteurs de menace, et peuvent peut-être donner une bonne estimation d'une certaine signification de la découvrabilité, mais ce n'est pas le cas commun, et il est trop facile d'être surpris.
J'ai observé des organisations ayant des vulnérabilités terribles qui se cachent à la vue de tous et qui ne sont jamais attaquées, peut-être parce qu'il y a toujours des fruits pendants plus bas.
De plus, j'ai remarqué que ce que de nombreux dirigeants pensent lorsqu'ils ont l'intuition d'une mesure de "découvrabilité" est: à quel point est-ce mauvais pour moi si nous sommes compromis à cause de cela, où une extrémité de ce spectre est Equifax (perdez votre travail et tout le reste) ), et l'autre extrémité est un oops, désolé, le coût de faire des affaires. Cette intuition en soi n'est pas nécessairement une mauvaise façon d'établir des priorités, mais elle n'a rien à voir avec une définition raisonnable de la "découvrabilité".
Je ne pense donc pas que cela devrait avoir un rôle.
Oui. Bien que DREAD soit obsolète, d'autres modèles incluent des concepts similaires et les définissent de manière plus rigide. Dans FAIR, par exemple, l'aspect Vulnérabilité est déterminé comme le rapport entre la capacité de menace et la difficulté, où la capacité de menace signifie à quel point votre menace spécifique est capable (sur une échelle de 1 à 100) tandis que la difficulté signifie la barrière qu'elle doit surmonter pour être surmontée. réussi (sur une échelle de 1 à 100). Le fait que vous ayez besoin de connaissances considérables pour découvrir la faiblesse exploitable ajouterait quelques points à la difficulté.
La raison pour laquelle la découvrabilité est supprimée à juste titre de DREAD est qu'elle est l'un des nombreux facteurs d'un sous-aspect d'un sous-aspect du risque. Il ne mérite pas le statut de premier ordre qu'il a dans DREAD. Une faible découvrabilité assomme les attaquants de bas niveau et a peu d'effet sur les attaquants plus qualifiés.
De plus, DREAD est une méthode d'évaluation qualitative. En tant que tel, même un ou deux points dans n'importe quelle catégorie peuvent déplacer le résultat dans une "boîte" différente, exagérant encore l'effet. Dans un modèle statistique ou quantitatif approprié, l'effet est beaucoup plus progressif.