"Tiempo promedio que una vulnerabilidad anunciada tiene una explotación generalizada", T
"Atracción del servidor como objetivo", A , en una escala cualitativa de 1 a 5 (el número más alto representa más atractivo).
"Facilidad de explotación", E , utilizando la puntuación CVE como base de comparación común
(T/A) x E = N
Teniendo en cuenta que ahora se considera que T se mide en días ( página 1- 2 ), N puede ser muy corto, de hecho.
Es por eso que las técnicas de mitigación son importantes, donde los proveedores de AV e IDS son más rápidos en la implementación de la detección de explotaciones anunciadas que los operadores que las implementan.
EDIT:
Pensé que estaba empleando una variación en las fórmulas de riesgo estándar de InfoSec, y por eso pensé que propondría lo anterior como un trampolín para el debate. Pero, también estoy feliz de revisar mi material para proporcionar referencias sobre el origen del marco anterior y mis justificaciones para modificarlos.
Primero: Dillard, K., Pfost J., La Guía de administración de riesgos de seguridad , Microsoft Press, 2004
Segundo: Munteanu, A., Evaluación de riesgos de seguridad de la información: el dilema cuantitativo versus cualitativo , Gestión de la información en la economía digital: problemas y problemas. Soluciones 227
Dillard propone la siguiente fórmula para calcular el nivel de frecuencia de amenaza:
TFL = TP × (C / E)
Donde:
TP = probabilidad de amenaza
C = criticidad del ataque
E = Esfuerzo por explotar
Munteanu critica el enfoque de Dillard, diciendo que no incluye un elemento de tiempo, específicamente el "período de tiempo promedio para liberar procedimientos técnicos para reducir o aceptar amenazas", que Munteanu llama una de las variables de Exposure Time . El tiempo de exposición parece directamente relevante para la pregunta del OP sobre el "tiempo para parchear". Dado que el TFL es un factor cualitativo, y el tiempo es un factor cuantitativo que debe ser una relación directa, un enfoque multiplicativo parecía apropiado.
Entonces, al utilizar una combinación de la fórmula original de Dillard y la modificación propuesta por Munteanu para calcular un Nivel de frecuencia de amenaza basado en el tiempo histórico hasta el parche, llegamos a:
TFLp = TP x (C / E) x ET
Tomando el mismo modelo, y en su lugar calculando el TFL basado en parches (basados en datos históricos en el momento del parche), pero en lugar de reemplazar la variable de tiempo con el tiempo promedio para una explotación generalizada (WE), podemos calcular El TFL para la explotación:
TFLe = TP x (C / E) x WE
¿Cómo se aplica esto a mi fórmula original escrita apresuradamente? Primero, podemos equiparar mi escala de "atractivo" a la "probabilidad de amenaza" de Dillard. La probabilidad se mide como una relación (un número de 0 a 1). Para representar correctamente la relación si cambiamos TP a una escala de 1 a 5, tendríamos que cambiarla de directa a inversa, por lo que:
TFLe = (C / E) x WE / A
Segundo, el "Esfuerzo" (E) de Dillard es inverso a mi "Facilidad" (E), por lo que esa relación también debe cambiar:
TFLe = C x E x (WE / A)
Aceptar que WE de Dillard es sinónimo de mi T , y que la "criticidad" no es una preocupación de la OP:
TFLe = E x (T / A)
Que se parece sospechosamente a mi fórmula original ...
¿Mi fórmula original es matemáticamente exactamente similar a las fórmulas de Dillard / Munteanu? No claro que no. Pero creo que el mío sirve como una simplificación útil de los conceptos generales.