Níveis de gravidade
Encontrar níveis de gravidade.
Quando nossos pentesters encontram vulnerabilidades, eles também identificam níveis de gravidade. Isso ajuda você a compreender o risco associado ao negócio.
A Metodologia de Classificação de Risco OWASP especifica os níveis Alto, Médio e Baixo. Adicionamos níveis Crítico e Informativo para ajudá-lo a priorizar nossas descobertas.
Seguimos o modelo de risco padrão descrito pela OWASP, onde:
Neste caso, a classificação de risco é baseada nos seguintes fatores:
Probabilidade: especifica a probabilidade de explorar a descoberta. Pode incluir fatores como:
Habilidade necessária para um invasor explorar uma vulnerabilidade
Disponibilidade de explorações documentadas
Facilidade de explorar a vulnerabilidade
Impacto: Depende do efeito nas operações técnicas e comerciais. Pode incluir:
Perda de confidencialidade
Problemas com integridade de dados
Disponibilidade reduzida de dados ou sistemas
Perdas potenciais de dinheiro ou reputação
Quando nossos pentesters encontram vulnerabilidades, eles usam o modelo de risco padrão OWASP e depois as classificam em um dos seguintes níveis:
| Categoria | Classificação | Descrição |
|---|---|---|
Crítico | 25 | Inclui vulnerabilidades que requerem atenção imediata. |
Alto | 16-24 | Afeta a segurança do seu aplicativo/plataforma/hardware, incluindo sistemas suportados. Inclui vulnerabilidades de alta probabilidade com alto impacto nos negócios. |
Médio | 5-15 | Inclui vulnerabilidades que são: risco médio, impacto médio; baixo risco, alto impacto; alto risco, baixo impacto. |
Baixo | 2-4 | Especifica vulnerabilidades comuns com impacto mínimo. |
Informativo | 1 | Observa vulnerabilidades de risco mínimo para o seu negócio. |
Assim que nossos pentesters atribuírem um nível de severidade, moveremos a descoberta para Correção Pendente, conforme descrito em nossos Estados de Descoberta.
Risco Agregado é a soma dos riscos de descobertas individuais descobertas em um pentest.
Você pode visualizar o risco agregado de um ativo nas páginas Ativos e Insights. Para obter detalhes, aponte para a dica de ferramenta em uma página específica.
Last updated
