リスク スコアは、データセンター内の特定の脆弱性のリスクを正確に表すメトリックです。これは、CVSS 情報を Kenna Security からの独自の脅威データと高度なモデリングを組み合わせることで実現されます。
リスクの測定
Carbon Black Cloud は、Kenna Security とパートナーとして連携することで、業界最大の脆弱性、悪用、イベント脅威のデータベースを活用しています。このデータは、以下のリスクの 3 つの主な要素に集約されます。
- [アクティブなインターネット侵害]:ほとんどリアルタイムの悪用の有無。
- [マルウェアの悪用]:兵器化された悪用キットの悪用モジュールの可用性。
- [簡単に悪用可能]:記録された悪用の可用性。
共通の脆弱性スコア システム (CVSS) に定義されているメトリックはほとんどありません。一部のメトリックは攻撃方法自体に関するものですが、その他のメトリックはアプリケーションの影響(悪用が成功した場合の直接的な結果)に依存します。CVSS の詳細については、https://www.first.org/cvss/specification-document を参照してください。
リスク スコア
すべての脆弱性には、0.0 (リスクなし) と 10.0 (最大リスク) の間のリスク スコアが割り当てられます。リスク スコアの範囲と重要度は、次のように定義されます。
| スコアの範囲 | 重要度 |
|---|---|
| 0.0–3.9 | 低 |
| 4.0-6.9 | 中 |
| 7.0-8.9 | 重要 |
| 9.0-10.0 | 最重要 |
リスクの計算方法の詳細については、https://cdn.www.carbonblack.com/wp-content/uploads/VMWCB-Whitepaper-Understanding-the-Kenna-Security-Vulnerability-Risk-Score.pdfで Kenna Security のドキュメントを参照してください。
