Exemple de calcul du score de risque pour Vulnerability Response

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 2 minutes de lecture

    • Vous pouvez utiliser les calculateurs de score de risque pour générer des scores de risque qui utilisent les données de vulnérabilité et d’actif propres à votre organisation.

    Exemple de détermination des scores des calculateurs de règles de risque

    L’exemple suivant montre comment les scores des calculateurs de règles de risque sont déterminés.

    Supposons qu’un calculateur de règles de risque soit configuré avec les champs de cette table :
    Champ Pondération Répartition du poids
    Vulnérabilité.Gravité 50

    Par défaut : 20

    1 - Critique : 100

    2 - Élevé : 80

    3 - Moyen : 60

    4 - Faible : 40

    5 - Aucun : 20
    Vulnerability.Exploit existe 50

    Par défaut : 50

    Oui : 100

    Non : 0
    Supposons également que les éléments vulnérables affichés dans cette table sont présents dans le système :
    ID Gravité de la vulnérabilité Existence d’une exploitation de vulnérabilité
    VIT00001 1 - Critique 1 - Oui
    VIT00002 2 – Élevé 1 - Oui
    VIT00003 3 : moyen 2 – Non
    VIT00004 4 – Faible 2 – Non
    VIT00005 5 : aucun 2 – Non
    Le calcul du score de risque pour les éléments vulnérables est calculé en fonction de la formule suivante :

    Score de risque = (W (gravité) * FV (gravité). + W(exploitexiste) * FV(exploit existe)) / 100

    W est le poids et FV est le pourcentage de poids de la valeur du champ.

    Le score de risque résultant pour ces éléments vulnérables est décrit dans le tableau suivant :

    ID Gravité de la vulnérabilité (50 %) Existence d’une exploitation de vulnérabilité (50 %) Score de risque résultant
    VIT00001 1 – Critique (50 % x 100) 1 – Oui (50 % x 100) 100
    VIT00002 2 – Élevée (50 % x 80) 1 – Oui (50 % x 100) 90.0
    VIT00003 3 – Moyen (50 % x 60) 2 – Non (50 % x 0) 30
    VIT00004 4 – Faible (50 % x 40) 2 – Non (50 % x 0) 20
    VIT00005 5 - Aucun (50 % x 20) 2 – Non (50 % x 0) 10
    Remarque :
    Par VIT00005, la pondération par défaut est appliquée, car la valeur de gravité est vide.

    Si le pourcentage de pondération est modifié pour l’une des valeurs de champ, consultez la table suivante pour les résultats :

    Champ Pondération Répartition du poids
    Vulnérabilité.Gravité 50
    • Par défaut : 20
    • 1 - Critique : 100
    • 2 - Haute : 70

      *valeur révisée

    • 3 - Moyen : 60
    • 4 - Faible : 40
    Vulnerability.Exploit existe 50
    • Par défaut : 50
    • Oui : 100
    • Non : 0

    Le score de risque pour les éléments vulnérables après réapplication du calculateur est affiché dans la table suivante :

    ID Gravité de la vulnérabilité (50 %) Existence d’une exploitation de vulnérabilité (50 %) Score de risque résultant
    VIT00001 1 – Critique (50 % x 100) 1 – Oui (50 % x 100) 100
    VIT00002 2 – Élevée (50 % x 70)

    *valeur révisée

    		 1 – Oui (50 % x 100) 85

    *valeur révisée
    VIT00003 3 – Moyen (50 % x 60) 2 – Non (50 % x 0) 30
    VIT00004 4 – Faible (50 % x 40) 2 – Non (50 % x 0) 20
    VIT00005 5 - Aucun (50 % x 20) 2 – Non (50 % x 0) 10