总结并注释了 NIST CVSS 3.1 评分方法
Posted: Sat Jul 12, 2025 11:33 am
虽然有些 CVSS 用户可能只考虑基本指标来对漏洞进行风险评分,但要为您的组织提供更全面的风险评分,这三组指标都是必需的。这些挑战和风险评分组件在 CVSS 之外的许多其他方法中也类似。
建议
在 Salesforce,信息安全团队使用多种技术,从简单地应用严重性评分转变为更彻底地评估风险,其中包括:
通过威胁情报平台和漏洞管理工具将时间指标纳入漏洞风险评分
评估脆弱资产的环境特征,例如可用性要求、数据保密级别和面向客户的暴露程度
从简单开始,随着更多风险因素数据的出现,随着时间的推移动态调整风险评分方法
第 2 步:使用关键风险指标监控您的风险
衡量我们是怎样的人,取决于我们如何利用我们所拥有的东西。
文斯·隆巴尔迪
隆巴尔迪规则
关键风险指标 (KRI) 可以定义为风险衡量指标,并设定组织设定的目标或阈值。组织领导者通 手机号数据库列表 常会定义这些目标和阈值,以表示风险达到不可接受的水平。从组织高层领导到风险管理安全领导者,KRI 通常用于主动监控风险。
到目前为止听起来不错,但是如何创建关键风险指标呢?
首先,该措施必须与风险相关。风险措施识别哪些因素可能会增加负面安全事件发生的可能性或影响。例如,如果研究人员发现系统中存在新的高风险软件漏洞,风险发生的可能性就会增加。如果系统开始存储更多敏感数据,风险影响也会增加。
建议
在 Salesforce,信息安全团队使用多种技术,从简单地应用严重性评分转变为更彻底地评估风险,其中包括:
通过威胁情报平台和漏洞管理工具将时间指标纳入漏洞风险评分
评估脆弱资产的环境特征,例如可用性要求、数据保密级别和面向客户的暴露程度
从简单开始,随着更多风险因素数据的出现,随着时间的推移动态调整风险评分方法
第 2 步:使用关键风险指标监控您的风险
衡量我们是怎样的人,取决于我们如何利用我们所拥有的东西。
文斯·隆巴尔迪
隆巴尔迪规则
关键风险指标 (KRI) 可以定义为风险衡量指标,并设定组织设定的目标或阈值。组织领导者通 手机号数据库列表 常会定义这些目标和阈值,以表示风险达到不可接受的水平。从组织高层领导到风险管理安全领导者,KRI 通常用于主动监控风险。
到目前为止听起来不错,但是如何创建关键风险指标呢?
首先,该措施必须与风险相关。风险措施识别哪些因素可能会增加负面安全事件发生的可能性或影响。例如,如果研究人员发现系统中存在新的高风险软件漏洞,风险发生的可能性就会增加。如果系统开始存储更多敏感数据,风险影响也会增加。