Níveis de gravidade

Encontrar níveis de gravidade.

PreviousEstados das Descobertas NextRelatórios

Last updated 8 months ago

Was this helpful?

Níveis de gravidade

Encontrar níveis de gravidade.

Quando nossos pentesters encontram vulnerabilidades, eles também identificam níveis de gravidade. Isso ajuda você a compreender o risco associado ao negócio.

A Metodologia de Classificação de Risco OWASP especifica os níveis Alto, Médio e Baixo. Adicionamos níveis Crítico e Informativo para ajudá-lo a priorizar nossas descobertas.

Seguimos o modelo de risco padrão descrito pela OWASP, onde:

Risco = Probabilidade * Impacto

Neste caso, a classificação de risco é baseada nos seguintes fatores:

Probabilidade: especifica a probabilidade de explorar a descoberta. Pode incluir fatores como:
- Habilidade necessária para um invasor explorar uma vulnerabilidade
- Disponibilidade de explorações documentadas
- Facilidade de explorar a vulnerabilidade
Impacto: Depende do efeito nas operações técnicas e comerciais. Pode incluir:
- Perda de confidencialidade
- Problemas com integridade de dados
- Disponibilidade reduzida de dados ou sistemas
- Perdas potenciais de dinheiro ou reputação

Quando nossos pentesters encontram vulnerabilidades, eles usam o modelo de risco padrão OWASP e depois as classificam em um dos seguintes níveis:

Categoria

Classificação

Descrição

Crítico

Inclui vulnerabilidades que requerem atenção imediata.

Alto

16-24

Afeta a segurança do seu aplicativo/plataforma/hardware, incluindo sistemas suportados. Inclui vulnerabilidades de alta probabilidade com alto impacto nos negócios.

Médio

5-15

Inclui vulnerabilidades que são: risco médio, impacto médio; baixo risco, alto impacto; alto risco, baixo impacto.

Baixo

2-4

Especifica vulnerabilidades comuns com impacto mínimo.

Informativo

Observa vulnerabilidades de risco mínimo para o seu negócio.

Assim que nossos pentesters atribuírem um nível de severidade, moveremos a descoberta para Correção Pendente, conforme descrito em nossos Estados de Descoberta.

Risco Agregado é a soma dos riscos de descobertas individuais descobertas em um pentest.

Você pode visualizar o risco agregado de um ativo nas páginas Ativos e Insights. Para obter detalhes, aponte para a dica de ferramenta em uma página específica.

PreviousEstados das Descobertas NextRelatórios

Last updated 8 months ago

Was this helpful?

Quando nossos pentesters encontram vulnerabilidades, eles também identificam níveis de gravidade. Isso ajuda você a compreender o risco associado ao negócio.

A Metodologia de Classificação de Risco OWASP especifica os níveis Alto, Médio e Baixo. Adicionamos níveis Crítico e Informativo para ajudá-lo a priorizar nossas descobertas.

Seguimos o modelo de risco padrão descrito pela OWASP, onde:

Risco = Probabilidade * Impacto

Neste caso, a classificação de risco é baseada nos seguintes fatores:

Probabilidade: especifica a probabilidade de explorar a descoberta. Pode incluir fatores como:
- Habilidade necessária para um invasor explorar uma vulnerabilidade
- Disponibilidade de explorações documentadas
- Facilidade de explorar a vulnerabilidade
Impacto: Depende do efeito nas operações técnicas e comerciais. Pode incluir:
- Perda de confidencialidade
- Problemas com integridade de dados
- Disponibilidade reduzida de dados ou sistemas
- Perdas potenciais de dinheiro ou reputação

Quando nossos pentesters encontram vulnerabilidades, eles usam o modelo de risco padrão OWASP e depois as classificam em um dos seguintes níveis:

Categoria

Classificação

Descrição

Crítico

Inclui vulnerabilidades que requerem atenção imediata.

Alto

16-24

Afeta a segurança do seu aplicativo/plataforma/hardware, incluindo sistemas suportados. Inclui vulnerabilidades de alta probabilidade com alto impacto nos negócios.

Médio

5-15

Inclui vulnerabilidades que são: risco médio, impacto médio; baixo risco, alto impacto; alto risco, baixo impacto.

Baixo

2-4

Especifica vulnerabilidades comuns com impacto mínimo.

Informativo

Observa vulnerabilidades de risco mínimo para o seu negócio.

Assim que nossos pentesters atribuírem um nível de severidade, moveremos a descoberta para Correção Pendente, conforme descrito em nossos Estados de Descoberta.

Risco Agregado é a soma dos riscos de descobertas individuais descobertas em um pentest.

Você pode visualizar o risco agregado de um ativo nas páginas Ativos e Insights. Para obter detalhes, aponte para a dica de ferramenta em uma página específica.