Risikostufe
Hinweis Bei der Verwendung von SINEC Security Guard in Kombination mit ServiceNow® beachten Sie zusätzlich Verwendung mit ServiceNow®.
Die Risikostufe gibt an, wie problematisch eine bestehende Schwachstelle für ein bestimmtes Asset sein kann. Es gibt folgende Risikostufen:
| Risikostufe | Bedeutung: Die Schwachstelle ... | Beispiel |
|---|---|---|
| Kein Risiko | … kann das Asset nicht beeinflussen | |
| Kritisch | … kann eine kritische Auswirkung auf das Asset haben |  |
| Hoch | … kann eine hohe Auswirkung auf das Asset haben |  |
| Mittel | … kann eine mittlere Auswirkung auf das Asset haben |  |
| Niedrig | … kann eine geringe Auswirkung auf das Asset haben |  |
| Unbestimmt | … kann eine unbestimmte Auswirkung (keine bis kritische) auf das Asset haben. Die Auswirkung ist unbestimmt, da das Asset keiner Zone zugeordnet ist |  |
SINEC Security Guard berechnet eine individuelle Risikostufe für jede Schwachstelle eines Assets. Diese Berechnung basiert auf:
-
dem CVSS der betrachteten Schwachstelle und
-
der 'Geschäftskritikalität' und 'Exposition' eines Assets.
Somit erleichtert die Risikostufe die Priorisierung der Behebung offener Schwachstellen. Durch die Berücksichtigung von zonen- und asset-spezifischen Faktoren kann die Dringlichkeit von Schwachstellen auf einer asset-spezifischen Basis bestimmt werden.
-
CVSS berücksichtigt die schlimmstmögliche Auswirkung einer Schwachstelle. Alle von derselben Schwachstelle betroffenen Assets werden vom CVSS als gleichermaßen schutzbedürftig angesehen.
-
Die Risikostufe berücksichtigt zusätzlich zur CVSS auch die asset-spezifische Situation, z.B. eine besondere Bedeutung des Assets für den Geschäftserfolg oder den bestehenden Schutz einer Zone durch eine Firewall.
| Kriterien | CVSS | Risikostufe |
|---|---|---|
| Berücksichtigung der schlimmsten Auswirkungen | Ja | Ja (verwendet den CVSS-Score) |
| Berücksichtigung der zonen-/asset-spezifischen Geschäftskritikalität | Nein | Ja |
| Berücksichtigung der zonen-/asset-spezifischen Schutzmechanismen (Exposition) | Nein | Ja |
| Beispiel von zwei identischen Assets mit einer Schwachstelle mit einem CVSS-Score von 7,2: | ||
| Asset A in der Zone 'Chemischer Reaktor' (hohe Geschäftskritikalität, hohe Exposition) | Asset A: 7,2 | Asset A: Kritisch |
| Asset B in der Zone 'Versand' (geringe Geschäftskritikalität, mittlere Exposition) | Asset B: 7,2 | Asset B: Mittel |
| Schlussfolgerung: | Beide Assets erscheinen gleichermaßen schutzbedürftig | Asset A sollte dringender gegen die Schwachstelle geschützt werden |
Ähnliche Assets mit derselben Schwachstelle, die verschiedenen Zonen mit unterschiedlichen Werten für Geschäftskritikalität und Exposition angehören, können zu unterschiedlichen Risikostufen führen.
Ein Asset kann mehrere Schwachstellen haben und daher gleichzeitig mehrere Risikostufen aufweisen. Die Gesamtrisikostufe des Assets ist immer die höchste aller Risikostufen.
Beispiel:
Wenn Schwachstelle 1 an einem Asset eine niedrige Risikostufe verursacht und Schwachstelle 2 an demselben Asset eine mittlere Risikostufe verursacht, ist die Gesamtrisikostufe des Assets mittel.
Der Risikostatus und die spezifische Risikostufe eines Assets hängen von den Ereignissen ab, die auf dem Asset auftreten.
| Ereignis auf einem Asset | Risikostatus | Beispiel für die Risikostufe des Assets aufgrund der Schwachstelle |
|---|---|---|
| Schwachstelle wurde neu identifiziert | Offen | 'Hoch' (wurde neu berechnet) |
| Risikomindernde Aufgaben sind geplant | Verwaltet | 'Hoch' (Planung ändert die Risikostufe nicht) |
| Aufgaben wurden umgesetzt, Schwachstelle wurde beseitigt | Durchgeführt | 'Kein Risiko' |