Obecnie istnieje ogromna liczba narzędzi atakujących, z których niektóre są dostępne w domenie publicznej, a wiele z nich lub nie. Kiedy siedzimy i patrzymy na dzienniki wykrywania włamań po wystąpieniu incydentu, pytanie, jak odróżnić narzędzia ataku używane przez jednego napastnika, a nie inne, często się kurczy. Czy użycie określonego narzędzia ataku przez jednego atakującego sprawia, że jest on „lepszy” niż następny? Czy narzędzie użyte w ataku jest dostępne w domenie publicznej? Jeśli nie, co mam zrobić z przeciwnikiem, który go skutecznie wykorzystał? W następnej części tego rozdziału podjęto próbę wprowadzenia pewnych sposobów rozróżnienia między narzędziami ataku a tym, czego możemy się dowiedzieć o naszych przeciwnikach na podstawie tych czynników różnicujących.
Wskaźniki punktacji narzędzi
Chociaż prawdą jest, że wiele narzędzi ataków jest endemicznych dla określonej techniki ataku, a zatem można argumentować, że one i metryki oceny technik stanowią jeden i ten sam zestaw miar, istnieje podstawowy powód, dla którego tak nie jest. narzędzie ataku może wykorzystywać określoną technikę ataku (która w odpowiednich okolicznościach może zapewnić wysoki poziom możliwości dla przeciwnika), wiele metryk technik nie bierze pod uwagę czynników, takich jak dostępność narzędzia ataku lub jego łatwość użycia, a co najważniejsze, nie definiuje różnic między różnymi narzędziami ataku wykorzystującymi podobną lub identyczną technikę ataku. Na przykład dwa narzędzia ataku wykorzystujące zdalne przepełnienie stosu, chociaż używają identycznych technik ataku, mogą zapewnić atakującemu różne poziomy możliwości ze względu na różnice w sposobie implementacji techniki ataku.