Existen algunas fórmulas para la evaluación de riesgos de vulnerabilidades de seguridad, como la fórmula DREAD (Daño, Reproducibilidad, Explotabilidad, Usuarios afectados, Detectabilidad: califique la vulnerabilidad de cada categoría en una escala del 1 al 10 y luego súmelas todas. ). ¿Hay alguna evidencia de que estos funcionen mejor que un simple profesional de la seguridad analice la vulnerabilidad como un todo y diga: "Sí, en una escala de 1 a 5, le doy un 3"?
He aquí por qué soy escéptico: el momento en que una fórmula es útil es cuando estoy haciendo algo que está fuera de mi área de experiencia, como comprar un automóvil usado, porque no sé nada de lo que son los autos. valor. Así que probablemente terminaría usando una fórmula que involucraba la marca y el modelo del auto, la cantidad de millas y cualquier daño visible.
Pero al evaluar las vulnerabilidades de seguridad, la determinación de la gravedad probablemente será realizada por alguien que tenga una buena intuición de cuán mala es una vulnerabilidad. En la mayoría de los casos que he visto, cuando dos expertos evaluaron de forma independiente qué tan grave era una vulnerabilidad, se acercaron a la misma respuesta. Y cuando no estuvieron de acuerdo, ciertamente no iban a resolver el desacuerdo al observar la fórmula: la persona cuya evaluación fue diferente de la fórmula, solo diría que esta es una de esas ocasiones en que la fórmula no lo hace. t trabajo Así que no sé cuál es el punto de la fórmula. Las fórmulas son útiles cuando los no expertos necesitan tomar una decisión, pero las personas que toman decisiones sobre vulnerabilidades de seguridad no deben ser no expertos.
Entonces, ¿hay alguna evidencia de que las fórmulas hayan sido útiles, en comparación con el enfoque intuitivo? Bastante abierto acerca de lo que cuenta como "evidencia", pero estoy pensando, por ejemplo, si una empresa probó el enfoque intuitivo una vez, probó el enfoque de fórmula una vez y descubrió que una funcionó mejor que la otra.