De CyberRisk wordt binnen de Website security check, NetCaptain, WebShepherd en Colony getoond bij alle systemen en is bedoeld om aan te geven hoe (on)veilig een systeem is. Het is goed om te beseffen dat we niet kunnen spreken over een veilig systeem wanneer de CyberRisk onder een bepaalde waarde is. Wel kunnen we over het algemeen zeggen dat wanneer de CyberRisk is toegenomen, de kans op misbruik toeneemt. De CyberRisk helpt u om te bepalen of u de goede kant op gaat qua beveiliging. Hoe hoger de CyberRisk, hoe hoger het risico.
Hoe wordt de CyberRisk berekend?
De minimum score van een CyberRisk is 100. Dit geeft aan dat er altijd een risico is, zelfs als alle bevindingen zijn opgelost. Het kan namelijk zijn dat er kwetsbaarheden in het systeem zitten die nog niet ontdekt zijn. De score van de CyberRisk wordt als volgt bepaald: er wordt gekeken naar de openstaande kwetsbaarheden; lage bevindingen tellen we één keer mee, medium bevindingen drie keer, hoge bevindingen twaalf keer en kritieke bevindingen vijftien. Opgeloste bevindingen tellen we uiteraard niet mee.
Binnen NetCaptain en Colony is het mogelijk om aan te geven of een systeem internet facing is (bijvoorbeeld een website). In dat geval wordt de score met 20% verhoogd. Servers waar hackers direct bij kunnen lopen een groter risico om aangevallen te worden. Bij de Website security check en WebShepherd wordt deze bonus standaard meegerekend omdat websites per definitie internet facing zijn.
In de bovenstaande grafiek is zichtbaar hoe de CyberRisk in verhouding staat met het aantal kwetsbaarheden. De rode lijn is de CyberRisk, de blauwe het aantal kwetsbaarheden. Na de eerste scan worden er 100 kwetsbaarheden opgelost. Opvallend is dat dit maar weinig uitmaakt voor de CyberRisk: na de tweede scan is er praktisch geen afname te zien. Dit komt omdat de focus lag op het zo snel mogelijk wegpoetsen van triviale bevindingen. Als we vervolgens naar de laatste scan kijken dan zien we dat er weer 100 bevindingen opgelost zijn, maar dat er dit keer wel gekeken is naar wat belangrijk is. Als gevolg hiervan zien we dat de CyberRisk gehalveerd is.
Bovenstaande voorbeeld laat goed zien hoe de CyberRisk kan helpen om te controleren of de focus goed is, zijn we risico gebaseerd aan het oplossen, of gaan we voor de kwantiteit?
