Безопасность языком цифр

Сегодня занимался расчетом метрик по PCI DSS на основе данных, полученных при проведении работ по тестированиям на проникновение. Так, по статистическим данным получается, что приблизительно 30% узлов из области проводимого сканирования, при проведении соответствующих работ, содержат от одной до нескольких уязвимостей. Если же рассматривать метрику только в отношении "живых" узлов, содержащих хотя бы один сервис, то ситуация будет еще более удручающей 50-60% исследуемых систем содержат от одной до нескольких уязвимостей. Цифра действительно впечатляет, т.к. речь идет про внешний периметр сети. Безусловно, возможный impact будет гораздо меньше, потому как не все уязвимости эксплуатабильны и многие из них могут использоваться только для проведения DoS-атаки. Однако мораль сей басни такова, что во всех подобных случаях удавалось пробить внешний периметр сети.