Beispiel für die Berechnung der Risikopunktzahl für Vulnerability Response

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Sie können die Risikopunktzahl-Rechner festlegen, um Risikopunktzahlen zu generieren, die die für Ihre Organisation eindeutigen Schwachstellen- und Asset-Daten verwenden.

    Beispiel für die Bestimmung der Punktzahlen von Risikoregelrechnern

    Das folgende Beispiel zeigt, wie Punktzahlen für Risikoregelrechner bestimmt werden.

    Angenommen, ein Risikoregelrechner ist mit den Feldern in der folgenden Tabelle konfiguriert:
    Feld Gewichtung Gewichtungsaufgliederung
    Schwachstelle.Schweregrad 50

    Standard: 20

    1 – Kritisch: 100

    2 – Hoch: 80

    3 - Mittel: 60

    4 – Niedrig: 40

    5 – Keine: 20
    Schwachstelle.Exploit vorhanden 50

    Standard: 50

    Ja: 100

    Nein: 0
    Nehmen Sie außerdem an, dass die in dieser Tabelle angezeigten angreifbaren Elemente im System vorhanden sind:
    ID Schwachstellenschweregrad Schwachstellen-Exploit ist vorhanden
    VIT00001 1 – Kritisch 1: Ja
    VIT00002 2 – Hoch 1: Ja
    VIT00003 3 – Mittel 2: Nein
    VIT00004 4 – Niedrig 2: Nein
    VIT00005 5 – Keine 2: Nein
    Die Risikopunktzahlberechnung für die angreifbaren Elemente wird basierend auf der Formel berechnet:

    Risikopunktzahl = (W(Schweregrad) * FV (Schweregrad). + W(Exploitexistiert) * FV(Exploit vorhanden)) / 100

    wobei W die Gewichtung und FV der Gewichtungsprozentsatz des Feldwerts ist.

    Die resultierende Risikopunktzahl für diese angreifbaren Elemente wird in der folgenden Tabelle beschrieben:

    ID Schwachstellenschweregrad (50 %) Schwachstellen-Exploit vorhanden (50 %) Resultierende Risikopunktzahl
    VIT00001 1 – Kritisch (50 % x 100) 1 – Ja (50 % x 100) 100
    VIT00002 2 – Hoch (50 % x 80) 1 – Ja (50 % x 100) 90.0
    VIT00003 3 – Mittel (50 % x 60) 2 – Nein (50 % x 0) 30
    VIT00004 4 – Niedrig (50 % x 40) 2 – Nein (50 % x 0) 20
    VIT00005 5 – Keine (50 % x 20) 2 – Nein (50 % x 0) 10
    Hinweis:
    Für VIT00005 wird die Standardgewichtung angewendet, da der Wert des Schweregrads leer ist.

    Wenn der Gewichtungsprozentsatz für einen der Feldwerte geändert wird, finden Sie in dieser Tabelle die Ergebnisse:

    Feld Gewichtung Gewichtungsaufgliederung
    Schwachstelle.Schweregrad 50
    • Standard: 20
    • 1 – Kritisch: 100
    • 2 – Hoch: 70

      *überarbeiteter Wert

    • 3 - Mittel: 60
    • 4 – Niedrig: 40
    Schwachstelle.Exploit vorhanden 50
    • Standard: 50
    • Ja: 100
    • Nein: 0

    Die Risikopunktzahl für die angreifbaren Elemente nach erneuter Anwendung des Rechners wird in der folgenden Tabelle angezeigt:

    ID Schwachstellenschweregrad (50 %) Schwachstellen-Exploit vorhanden (50 %) Resultierende Risikopunktzahl
    VIT00001 1 – Kritisch (50 % x 100) 1 – Ja (50 % x 100) 100
    VIT00002 2 – Hoch (50 % x 70)

    *überarbeiteter Wert

    		 1 – Ja (50 % x 100) 85

    *überarbeiteter Wert
    VIT00003 3 – Mittel (50 % x 60) 2 – Nein (50 % x 0) 30
    VIT00004 4 – Niedrig (50 % x 40) 2 – Nein (50 % x 0) 20
    VIT00005 5 – Keine (50 % x 20) 2 – Nein (50 % x 0) 10