CVE的风险与概率

Question

我怎样才能从CVE (https://cve.mitre.org/)中找到风险和概率？我读了一篇文章和它说(pg 14)，

成本来源于攻击树，风险和概率是基于CVE的。

本文介绍了DoS攻击和IoT网络。

Answer 1

CVE不会像你可能看到的那样提供那种级别的信息。反过来说，CVSS确实如此。CVE经常链接到使用CVSS评分的NVD，所以这可能是一个很容易犯的错误。

许多信息安全人员将“风险”与“影响”混为一谈。所以，如果我们假设它们的意思是“影响和概率是基于CVSS的”，那么一切都是有意义的。

下面是一个例子：https://nvd.nist.gov/vuln/detail/CVE-2017-14888

Impact
CVSS v3.0 Severity and Metrics:
Base Score: 7.8 HIGH 
Vector: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H (V3 legend) 
Impact Score: 5.9 
Exploitability Score: 1.8

Attack Vector (AV): Local 
Attack Complexity (AC): Low 
Privileges Required (PR): Low 
User Interaction (UI): None 
Scope (S): Unchanged 
Confidentiality (C): High 
Integrity (I): High 
Availability (A): High

长串码帮助定义了问题。

影响和概率往往直接由脆弱性的“影响评分”和“可利用性分数”决定。他们是否应该这样做完全是另一个问题。但在一篇研究论文中，这是一种常见的做法，也是一件很简单的事情。

Answer 2

我认为它们实际上是指风险和概率，而不是影响和概率，因为在这篇文章中，我们有几个计算影响的公式。