В том и вопрос. В статье на том же securitylab написано "средняя вероятность подобных инцидентов в индустрии оценивается как 33%". Во второй статье берется не вероятность, а именно количество инцидентов. В третьей говорится, что брать нужно количество инцидентов именно в вашей компании.
ARO это именно среднегодовая частота данного типа инцидентов (угроз) для вашей компании. Соответственно или из своего процесса управления инцидентами и статистики берете цифру или пытаетесь как-то иначе упражняться, например по отрасли и тд. Но такой подход не будет корректным, потому что вы не знаете какие контроли (меры защиты) реализованы в других организациях. Может там у большинства все хорошо, а у вас нет или наоборот.
