Im Fokus dieser Kategorie stehen mögliche Ansätze zur Aufbereitung und Zusammenführung der bei der Datenerhebung gewonnenen Informationen. Die in den folgenden Bereichen erschlossenen Zusammenhänge sollen den Nutzer dabei unterstützen, die bei der Angriffsflächenanalyse gefundenen Risiken innerhalb eines zusammenhängenden Gesamtbildes auszuwerten und zueinander in Beziehung zu setzen. Erst durch die Erfüllung der beschriebenen Funktionen kann das volle Potenzial des ASM ausgeschöpft werden.

Asset Discovery / Kategorisierung
Vor der Untersuchung eines Unternehmens müssen zunächst alle erreichbaren Assets durch umfassende Enumerationsverfahren identifiziert werden. Dazu gehört unter anderem das Auslesen von DNS-Records zur Ermittlung von Subdomains, um nicht dokumentierte Assets oder vergessene Systeme offenzulegen. Ebenfalls wichtig sind die Port- und Service-Discovery, zur Identifikation erreichbarer Dienste, sowie das Crawling von Websites. Mit Assets sind hierbei alle angreifbaren Einheiten gemeint, die zur Angriffsfläche einer Organisation beitragen. Dementsprechend sind nicht nur übergeordnete Hosts oder IP-Adressen gemeint, sondern auch Dienste, Anwendungen, cloudbasierte Ressourcen, sowie weitere angebundene Komponenten. Um eine verständlichere Übersicht der gefundenen Angriffsfläche zu vermitteln, werden die analysierten Assets in der Nutzerschnittstelle des Scananbieters nach ihrer Zugehörigkeit oder Funktion organisiert und mit ihren jeweiligen Mängeln versehen. Auf diese Weise werden Schwachstellen für den Kunden nachvollziehbar kontextualisiert.

Asset Korrelierung
Nach der Kategorisierung sollten im nächsten Schritt zusammenhängende Assets miteinander verknüpft werden. Um ein aufschlussreiches Modell der technischen Umgebung zu schaffen, mit dessen Hilfe mögliche Angriffsbewegungen erörtert werden können, sollten konzeptionelle Beziehungen wie Dienstabhängigkeiten, gemeinsame Ressourcen oder Zugriffspfade miteinander korreliert werden. Anhand dieser Grundlage kann nachvollzogen werden, wie Komponenten miteinander interagieren und wie dadurch das wahre Schadpotential einer einzelnen Schwachstelle ausfällt.

Angriffspfad-Analyse
Mithilfe des Bestands der miteinander korrelierten Assets können in diesem Schritt mögliche Angriffspfade herausgearbeitet werden. Das Scan-System versucht hierbei zu ermitteln, wie sich Angreifer durch vorhandene Schwachstellen, Fehlkonfigurationen oder Exponierungen von einem Asset zum nächsten bewegen können, bis ein fataler Punkt innerhalb des IT-Systems erreicht wird. Es geht dabei nicht mehr darum festzustellen, welche Assets lediglich funktional miteinander zusammenhängen, sondern es wird überprüft, ob sie sich tatsächlich gegenseitig gefährden. Mögliche Risiken werden bei diesem Ansatz danach bewertet, wie kritisch ihre Rolle im Zusammenspiel potenzieller Ausbreitungswege ist.

Risikoeinschätzung / Threat Intelligence
Damit die Risikoeinschätzung eines zugrunde liegenden Schwachstellenmanagements nicht den Bezug zu aktuellen Entwicklungen im IT-Sektor verliert, müssen die analysierten technischen Befunde in einen Bedrohungskontext eingeordnet werden, der wertvolle Informationen über aktive Angriffskampagnen und bereits bekannte Vorgehensmuster einbezieht. Entsprechende Erkenntnisse können aus unterschiedlichen Quellen stammen. Neben der Inkorporation von Threat-Intelligence-Feeds und der Auswertung öffentlich verfügbarer IT-Sicherheitsmeldungen aus realen Angriffen, bedient man sich dabei auch unkonventioneller Methoden, wie der Beobachtung von Darknet-Foren und Marktplätzen. Dies stellt einen wichtigen Schritt dar, um einzuschätzen, können, ob Schwachstellen im Hinblick auf reale Bedrohungslagen ein relevantes Risiko darstellen oder lediglich eine theoretische Gefährdung beschreiben.

Statischer Risiko-Score
Der Risiko-Score dient dazu, eine Priorisierung von Schwachstellen zu ermöglichen, damit Ressourcen für deren Behebung effizient den relevantesten Bedrohungen zugewiesen werden können. Anbieter nutzen hierfür meist standardisierte Bewertungssysteme wie das Common Vulnerability Scoring System (CVSS), das bei der Berechnung des Schweregrades kontextbezogene Eigenschaften einer Schwachstelle berücksichtigt. Hierzu zählen insbesondere Faktoren wie erforderliche Angreiferprivilegien, Komplexität eines Angriffs sowie das Gewicht potenzieller Auswirkungen auf das System. Solche standardisierten Modelle liefern ein einheitliches Fundament und ermöglichen eine vergleichbare Einordnung zwischen unterschiedlichen Systemen und Plattformen. 

Bewertung der Ausnutzbarkeit
Um nicht nur das theoretische Gefährdungspotenzial einer Schwachstelle zu bewerten, sondern ebenso dessen realistische Verwendbarkeit zu bestimmen erweitern viele Plattformen die Basiseinschätzung der statischen Bewertungssysteme dazu mit weiterführenden, teilweise selbstentwickelten Scoring-Modellen. Diese können durch fortschrittliche Verfahren systemspezifische Faktoren in einem noch engeren Rahmen berücksichtigen. Zu den Bewertungsfaktoren zählen hier beispielsweise die tatsächliche Erreichbarkeit eines Assets innerhalb der Infrastruktur, dessen geschäftliche Rolle oder das generelle Risiko für den Betrieb eines Systems.

Aktuelle Informationen der Bedrohungslage, auf die der Anbieter im Rahmen seiner globalen Threat-Intelligence-Evaluationen aufmerksam geworden ist, können die Beurteilung der Severity deutlich verbessern, etwa wenn eine Schwachstelle aktuell aktiv ausgenutzt wird oder Teil bekannter Angriffskampagnen ist. Auf einer ähnlichen Grundlage basiert hierbei das Exploit Prediction Scoring System (EPSS), welches die Wahrscheinlichkeit mit der eine bekannte Schwachstelle ausgenutzt wird, neben ihren lokalen Eigenschaften, zusätzlich anhand momentaner Angriffstrends, Beobachtungen aus realen Bedrohungslagen sowie Exploit-Verfügbarkeiten berechnet.

Neben der Wahrscheinlichkeit einer Ausnutzung wird um die Tatsächliche Relevanz einer Schwachstelle zu ermessen, häufig ebenso eine Exploit-Validierung ausgeführt, bei der ein endgültiges Proof of Concept erstellt wird. Ebenso wichtig ist es zu analysieren ob die Schwachstelle für Angreifer aufgrund möglicher Exponierungen, Schwächen bestehender Schutzmechanismen oder Problemen in der Rechteverteilung überhaupt erst erreichbar ist. Letztendlich kann ihre Relevanz für die Sicherheit des Gesamtsystems zudem anhand möglicher Angriffspfade bewertet werden, die von der Schwachstelle ausgehen. Dadurch wird zusätzlich ersichtlich, ob ihre Kompromittierung für Angreifer überhaupt erst ein Mehrwert darstellt.

False Positive-Erkennng
Eine wichtige Funktion, die Scan-Plattformen implementiert haben sollten, ist die Erkennung von False Positives unter den festgestellten Ergebnissen. Dabei sollen Meldungen daraufhin untersucht werden, ob sie fälschlich oder aufgrund unzureichender Befunde erzeugt wurden. Um die Belastbarkeit der Resultate zu prüfen, wird häufig ein Quality of Detection-Wert (QoD) konsultiert, der angibt, wie vollständig die zur Erkennung einer Schwachstelle vorgesehenen Tests ausgeführt werden konnten, bevor sie an technische oder rechtliche Grenzen gestoßen sind. Des Weiteren liefern untereinander widersprüchliche Ergebnisse oder Abweichungen, zwischen für eine Schwachstelle vorausgesetzten und tatsächlich vorhandenen Softwareversionen, ebenfalls Hinweise auf mögliche Fehlalarme.