Gdy dostępne są prawidłowe dane dotyczące ataku, ocena narzędzi używanych przez przeciwnika w ataku może pomóc nam znacznie lepiej zrozumieć przeciwnika. Niestety, wiele metryk, do których nawiązano do tego momentu, jest często bezużytecznych, biorąc pod uwagę ich nadmierną zależność od tego, kto ma dostęp do samego narzędzia ataku w celu analizy. Często zdarza się, że po prostu nie ma wystarczających danych dotyczących ataku, aby zidentyfikować narzędzie, z którego skorzystał przeciwnik, przez co proces akwizycji i analizy narzędzi jest prawie niemożliwy. Aby przeciwdziałać temu zastrzeżeniu, szukamy wskaźników, które to robią. nie naruszają tych kwestii, oceniając nie narzędzie ataku, ale samą metodologię ataku. metryki te są wprowadzane w dalszej części tego rozdziału.
Zmienne techniki ataku
Kiedy mówimy o technice ataku, odnosimy się do konkretnych technologii i metodologii ataku wykorzystywanych do wykonania danego ataku. Chociaż (w przeciwieństwie do metryk narzędzia ataku) metryki techniki ataku nie są specyficzne dla narzędzia używanego do wykorzystania techniki ataku, używane narzędzie jest często endemiczne dla tej techniki. Aby dać podstawowy przykład tego, dlaczego jest to wartościowe, wiele luk (lub słabości) aplikacji internetowych (witryn sieci Web) można wykorzystać (wykorzystać) za pomocą samej przeglądarki internetowej, takiej jak Microsoft Internet Explorer lub Mozilla. Stwarza to sytuację, w której, gdyby scharakteryzować zasoby technologiczne przeciwnika za pomocą punktacji samego narzędzia (w tym przypadku przeglądarki internetowej), obserwowana zdolność byłaby znacznie ograniczona (i niedokładna), biorąc pod uwagę, że chociaż zastosowana technika może wymagać wysokiego poziomu umiejętności, przeglądarka internetowa jest zasobem, o który trudno jest zdobyć iw żadnym wypadku nie stanowi exploita typu „zero day”. Metryki oceny technik ataku próbują rozwiązać ten brak informacji poprzez ocenę konkretnych sposobów wykorzystania przeglądarki internetowej (w tym przypadku narzędzia) do wykorzystania słabości aplikacji internetowej. Oceniając technikę ataku, warto wziąć pod uwagę kilka zmiennych; te, które mają zastosowanie, będą się różnić w zależności od przypadku.