Auf Computing Enterprise IT Risk Metrics

Die Beurteilung der Verwundbarkeit der großen heterogenen Systemen ist entscheidend für die IT operativen Entscheidungen wie die Priorisierung der Implementierung von Sicherheits-Patches und eine verstärkte Überwachung. Diese Einschätzungen basieren auf verschiedenen Kriterien, darunter (i) der NIST National Vulnerability Database, die Zehntausende von Schwachstellen Berichte über einzelne Komponenten, mit mehreren tausend jedes Jahr hinzu, und (ii) die spezifischen Gegebenheiten des Unternehmens IT-Infrastruktur, die viele Komponenten enthält Basis . Definition und Berechnung entsprechende Schwachstelle Metriken, um die Entscheidungsfindung zu unterstützen bleibt eine Herausforderung. Derzeit machen mehrere IT-Organisationen Verwendung des CVSS Metriken, die Schwachstellen der Gäste zu den einzelnen Komponenten. CVSS zulässt für Umwelt-Kennzahlen, was bedeutete, um die Konnektivität zwischen den Komponenten zu erfassen sind, leider, in Abschnitt 2.3 von [1] gibt es keine Richtlinien dafür, wie diese definiert werden sollte und damit die Umwelt Metriken sind selten definiert und genutzt werden. Wir präsentieren einen systematischen Ansatz zu quantifizieren und automatisch zu berechnen das Risikoprofil eines Unternehmens aus Informationen über einzelne Schwachstellen in CVSS Noten enthalten. Die Metrik wir vorschlagen können als CVSS Umwelt Score verwendet werden. Unsere Metrik kann, um das Problem der Priorisierung Patches angewendet werden, angepasst an die Konnektivität eines Unternehmens. Es kann auch verwendet werden, um gefährdete Bauteile zum Zwecke einer verstärkten Überwachung priorisiert werden.