CVSS - Risiko ist nicht gleich Risiko

Ein hohes technisches Risiko impliziert nicht zwingend ein hohes Risiko für den Geschäftsprozess. Dazu ein einfaches Beispiel: Das Schwachstellenmanagement meldet das Fehlen eines kritischen Patches auf einem Server und stuft das technische Risiko basierend auf CVSS als hoch ein. Die Überprüfung des Business Impacts auf Basis der Daten in der CMDB ergibt aber, dass der betroffene Server lediglich als Testserver in der internen Testumgebung dient. Es werden also keine geschäftskritischen Services unterstützt. Damit ist das Risiko für die Geschäftsprozesse im Gegensatz zum technischen Rating als gering einzustufen. Der Handlungsbedarf kann daher entsprechend niedrig priorisiert werden.

Lesen Sie mehr zum Thema

Weitere Artikel zu Lampertz GmbH & Co. KG

Erweiterungen in All-in-One-Forensik-Lösung

Oxygen Forensics: Datenextraktion mit…

Neue Datenarchitekturen schaffen

Denodo: Anforderungen an moderne…

Hilfe bei Abwehr von Advanced Persistent Threats

Guardicore: Weitere Version von Infection Monkey

Auswahl des Managed-Security-Services-Providers

Indevis: Tipps zur Auslagerung von…

Anzeige

SECUDOS bietet Adhoc-Lösung für Teamarbeit vom…