威胁利用脆弱性有两个最重要的属性,即可能性和影响。影响这两个值大小的最重要因素就是控制措施。
可能性的级别是要说明一个脆弱性在相关环境下被威胁所利用的可能性大小等级。在对可能性进行评价时,重点考虑三个方面的因素:1)威胁源的动机和能力;2)脆弱性的性质;3)安全控制措施的有无和有效性。如果分三个级别,可以这么描述:
高:威胁源具有强烈的动机和足够的能力;脆弱性被广为所知且攻击容易自动化或者远程进行;防止脆弱性被利用的防护措施是无效的。
中:威胁源具有一定的动机和能力;脆弱性被广为所知,但是攻击不容易自动化或者远程进行;但是已经部署的安全防护措施可以阻止对脆弱性的成功利用。
低:威胁源缺少动机和能力;脆弱性尚未公布且攻击不容易自动化或者远程进行;或者已经部署的安全防护措施能够防止——至少能大大地阻止对脆弱性的利用。
发生概率可以认为是可能性等级的精确表达。定量的分析威胁/脆弱性发生的可能性就是发生的概率。组织可以从相关的权威组织得到部分安全事件的发生概率。定量分析的要用的数据目前还是很贫乏的,尤其是来自人为威胁的发生概率。
