2015-08-12
660
Как отмечали, ключевым недостатком известных методов оценки актуальности уязвимостей является то, что ими не анализируются стохастические параметры уязвимостей - в общем случае групп или типов уязвимостей, которые могут быть классифицированы (отнесены к той или иной группе) по источнику возникновения и по возможности (цели) использования при реализации атаки злоумышленником. Это, в конечном счете, не позволяет делать прогнозы, в отношении появления и устранения уязвимостей соответствующих групп (или типов) в процессе эксплуатации информационной системы, как следствие, количественно оценивать уровень ее эксплуатационной (в процессе эксплуатации) информационной безопасности.
Общим для всех видов уязвимостей с позиции эксплуатационной информационной безопасности является то, что уязвимости с какой-то интенсивностью в информационной системе возникают (выявляются) и с какой-то интенсивностью устраняются. Как следствие, в отношении любой уязвимости (вне зависимости от ее физического смысла и природы возникновения) - в нашем случае, уязвимостей определенного типа, позволяющие осуществлять атаки определенного типа, могут быть определены (заданы при расчетах) интенсивность возникновения уязвимости 
, и интенсивность устранения уязвимости, µ, которые могут рассматриваться в качестве эксплуатационных параметров уязвимости (типа уязвимостей), что можно сделать на основании существующей и широко публикуемой в открытой печати статистики.
Проиллюстрируем сказанное примером, в отношении уязвимостей (типа уязвимостей), используемых для реализации атак на повышение привилегий. Так в январе 2014 года компания Microsoft выпустила 4 бюллетеня безопасности, два из которых закрывают уязвимости, приводящие к несанкционированному повышению привилегий, см. табл.1. Например, статистика по исправленным компанией Microsoft уязвимостям за 2013 год приведена в табл.2, где выделены уязвимости, которые широко эксплуатировались злоумышленниками на момент закрытия их компанией Microsoft [27]. Как видим, каких-либо проблем с определением эксплуатационных параметров уязвимостей (типов уязвимостей) из открытых источников не существует.
Таблица 1
