Desde CVSS v2 guía completa :
"Gestión de seguridad (riesgo): las empresas de gestión de riesgo de seguridad utilizan las puntuaciones CVSS como información para calcular el nivel de riesgo o amenaza de una organización. Estas empresas utilizan aplicaciones sofisticadas que a menudo se integran con la topología de red de la organización, los datos de vulnerabilidad y los activos. base de datos para proporcionar a sus clientes una perspectiva más informada de su nivel de riesgo ".
Mi pregunta precisa es: ¿Cómo se utilizan las puntuaciones de CVSS para calcular el riesgo de la organización? Las puntuaciones de CVSS se calculan por explotación, ¿es curioso cómo se extrapolan para el nivel de riesgo de toda la organización? Imagine que hacemos un inventario de cada aplicación, host, etc. en la red, realizamos análisis exhaustivos de Nessus o Qualys, etc., y luego tenemos puntuaciones CVSS de explotaciones conocidas. Pero, ¿cómo se unen para mostrar la postura de riesgo de toda la red?
Cualquier referencia o puntero sería de gran ayuda.