netsense Gravity verwendet neben dem komplexeren RAV nach OSSTMM einen einfachen Security Benchmark, um die Sicherheit eines Systems zu messen. Aus Gründen der Transparenz legen wir den Algorithmus hier gerne für die freie Verwendung offen.
Penalties
Zuerst werden die Penalties berechnet. Jeder Host bekommt allein schon aufgrund seiner Existenz einen Abzug, da es bekanntlich keine hundertprozentige Sicherheit gibt:
penalties = 0.05
Weiter werden die offenen Ports mit einer Gewichtung von 1/30 hinzugefügt, was die potenzielle Angriffsfläche widerspiegelt. Danach folgen die tatsächlich entdeckten Schwachstellen nach Kategorisierung gewichtet. Informative Findings haben keinen Einfluss.
penalties += open_ports/30 penalties += exposures/50 penalties += concerns/10 penalties += weakness/2 penalties += vulnerabilities
Security Degredation
Ein System, das lange nicht gescannt wird, wird ebenfalls abgestraft, das es ein Risikofaktor ist. Hierzu verwenden wir die Anzahl Tage seit dem letzten Scan:
penalties += last_scan_days/200
Skala
Die Penalties werden auf 999 beschränkt und auf einer logarithmischen Skala mit der Basis 1000 gelegt:
missing = Math.log(penalties+1)/Math.log(1000) security_benchmark = (1 - missing) * 100
Gerne sind wir bereit, den Algorithmus durch Ihren Input weiter zu entwickeln. Er soll aber einfach bleiben und nicht den Risk Assessment Value nach OSSTMM ersetzen, den Sie in Gravity unter Reports finden.