企业风险评分计算
企业风险评分反映组织因系统设置错误、当前安装应用程序的已知漏洞以及用户行为产生的风险而面临的整体风险水平。
评分范围为0至100,由基础分和多个修正项(如存在)组成。
企业基础分根据所有风险类型的个体基础分计算,再叠加修正项得出最终企业风险评分。
每种风险类型的基础分计算方式及专属修正项如下:
|
风险类型 |
基础分计算 |
可能修正项 |
|---|---|---|
|
检测结果(IOR) |
制定方 Bitdefender 安全专家评估。可能取值:
|
组织级影响 - 该分数根据存在该发现的终端数量与公司管理的终端总数之比确定。 |
|
漏洞 |
基于CVSS2/CVSS3评分系统定义。 |
组织级影响 - 该分数根据存在漏洞的终端数量与检测到的终端总数之比确定。 公司所属行业 - 若该漏洞正被积极利用则相关。此评估基于我方威胁情报服务的信息。 活跃已知漏洞利用 - 是否存在当前正被用于利用该漏洞的已知攻击手段。 |
|
基于身份的风险 |
由 Bitdefender 安全专家评估。 可能取值:
|
组织级影响 - 该分数根据风险适用的账户数量与公司现有账户总数之比确定。 |
|
资源 |
根据发现项和漏洞的总数计算。 |
活跃账户 - 使用该终端的活跃账户数量。 高风险身份 - 过去30天内是否有高风险身份登录并使用该资源。 |
|
账户风险 |
根据该身份触发的基于身份的风险总数计算。 |
不适用 |
结果保留90天,或直至下次扫描。
运行按需 风险扫描 可能影响总体评分。当漏洞被修复、特定风险被忽略或重新引入、扫描新终端、检测到新账户,或其他事件和设置影响环境时可能发生。