Theo ông, phương pháp tính điểm và phân loại lỗ hổng bảo mật hiện nay phản ánh một hệ thống lạc hậu và không xem xét cách thức hoạt động của tin tặc hiện đại. “Vấn đề là toàn bộ không gian quản lý lỗ hổng vẫn phát triển, nhưng không theo kịp sự thay đổi của các cuộc tấn công”, ông cho hay.
Các cách tiếp cận trong việc tính điểm và phân loại lỗ hổng như hệ thống tính điểm Common Vulnerability Scoring System (CVSS), đã dẫn đến sự quá tập trung vào các đặc điểm cụ thể của các lỗ hổng đơn lẻ mà bỏ qua bối cảnh rộng hơn là mô hình mối đe dọa và tiềm năng của việc khai thác lỗ hổng bảo mật theo chuỗi, có thể gây ra những thiệt hại khó lường. Nói cách khác, hệ thống tính điểm các lỗ hổng với thang điểm từ 0 (lành tính) đến 10 (rất xấu) với việc gắn cờ khác nhau (như có thể khai thác từ xa hoặc tại chỗ) sẽ không xác định được mức độ nguy hiểm thực sự của lỗ hổng trên thực tế.
Ví dụ, với một doanh nghiệp, lý tưởng nhất là nhanh chóng cập nhật bản vá đối với một lỗ hổng thực thi mã từ xa có điểm CVSS cao. Các lỗ hổng có điểm thấp hơn, như các lỗ hổng về leo thang đặc quyền và rò rỉ dữ liệu, có thể sẽ không được xử lý ưu tiên.
Tuy nhiên, tin tặc có thể khai thác lỗ hổng rò rỉ dữ liệu để có thông tin đăng nhập vào hệ thống, sau đó khai thác lỗ hổng leo thang đặc quyền để chiếm quyền điều khiển hệ thống. Do đó, hai lỗ hổng điểm thấp còn có thể có tiềm năng bị khai thác và gây ra hậu quả nghiêm trọng hơn lỗ hổng thực thi mã từ xa.
Theo Rogers, quá trình đánh giá chưa đưa ra cách đối phó với các lỗ hổng này, mà còn đưa người dùng vào cách đánh giá sai lầm khi nhìn vào điểm số của lỗ hổng. Nếu lỗ hổng có điểm thấp thì người dùng sẽ ít phân bổ tài nguyên để xử lý.
Ngoài ra, cần xét tới bối cảnh khai thác một lỗ hổng. Ví dụ, một lỗ hổng cho phép tin tặc hiển thị văn bản trên màn hình sẽ có điểm CVSS rất thấp. Nhưng nếu lỗ hổng đó được khai thác trên màn hình giải trí tại máy bay hoặc biển thông báo của cảnh sát, thì có thể gây ra sự hỗn loạn ngang với việc chiếm quyền kiểm soát hệ thống.
Cũng có trường hợp các lỗ hổng dường như vô hại lại trở thành nguy hiểm khi tin tặc tìm được cách khai thác chúng tốt hơn. Rogers đã chỉ ra cuộc tấn công Rowhammer, trong đó mã độc có thể thay đổi dữ liệu của bộ nhớ. Việc thay đổi một vài bit trong RAM có vẻ không quá nghiêm trọng, nhưng sẽ thực sự nguy hiểm khi lật đúng bit trong bộ nhớ kernel để có được quyền root.
Mặc dù sẽ khó tìm được giải pháp hoàn thiện cho việc đánh giá lỗ hổng, nhưng Rogers tin rằng bước đầu tiên cần làm là có cái nhìn rộng hơn về cách thức phân loại các lỗ hổng. Thay vì chỉ nhìn vào hậu quả tức thời có thể xảy ra của một lỗ hổng, thì cần phải tính đến việc lỗ hổng đó có thể ảnh hưởng gì đối với phần còn lại của hệ thống.
Để làm điều đó, nhân viên an toàn thông tin cần phải mở rộng tầm nhìn của mình và tiếp cận nhiều hơn với các cộng đồng an toàn thông tin. Cách tiếp cận đúng là đánh giá lỗ hổng theo cách người xây dựng hệ thống hoặc nhà điều hành xem xét bối cảnh khai thác của lỗ hổng. Theo Rogers, cần đưa ra một quy trình linh động hơn như sử dụng điểm CVSS nhưng xem xét thêm các yếu tố về hệ thống.