正確で有用なリスク スコアリングには、ビジネス リスクの可観測性が必要です from securityboulevard.com
security summary
ビジネス リスクのオブザーバビリティの概念は、CVSS スコアリングのみよりもコンテキストに即した (そして実用的な) アプリケーション ベースのリスクの評価に依存しています。
ビジネス リスク スコアには、ビジネス環境における各脆弱性のインスタンス数、潜在的な重大度、および特定の時点で各脆弱性の結果として脅威にさらされる資産など、追加のリスク要因も含める必要があります。
アプリケーションのすべてのコンポーネントにわたってタグ付けおよび追跡されたビジネス トランザクションの自動検出およびマッピングを、全体的なリスク メーター スコアと組み合わせて、ビジネス リスク自体を掘り下げることができます。
実際のビジネス リスク スコアリング
この場合のビジネス リスク スコアは、ビジネス リスクの可観測性のより広い概念における棒の先の部分であり、実際には、アプリケーション開発、IT 運用、およびセキュリティ チーム間のギャップを埋めて、脆弱性の修復に優先順位を付けることができます。
ビジネス リスク スコアは、実務上も原則としても、CVSS やその他の測定ではビジネス リスクに関して正確にランク付けされたスコアリングが提供されず、時間的な文脈化が欠けているという二分法を合理化することができます。
コメント