에서 자동으로 위험 Application Vulnerability Response 계산
애플리케이션 취약성 계산기는 애플리케이션 취약한 항목(AVI)의 필드에 대한 초기 위험 값을 자동으로 계산합니다. 위험 계산은 정정 우선 순위에 대한 통찰력을 제공합니다. 각 계산기의 조건이 순서대로 평가되고 첫 번째로 일치하는 계산기가 사용됩니다.
애플리케이션 취약성 계산기
- 기본 위험 계산기
- Advanced Risk 계산기
조건 필터를 사용하여 임의의 기준에 따라 AVI의 영향에 우선순위를 지정하고 등급을 매기도록 애플리케이션 취약성 계산기를 구축할 수 있습니다. 취약성의 비즈니스 영향이든, 구성 항목(CI)의 클래스이든, AVI의 사용 기간이든 관계없이 추가 취약성 계산기를 생성하여 AVI의 다른 필드를 설정할 수 있습니다. 또는 기존 취약성 계산기를 사용자 지정할 수 있습니다. 계산기는 모든 우선 순위를 반영하도록 작성할 수 있습니다. 자세한 내용은 내 필터링 애플리케이션 취약성 관리 문서를 참조하십시오.
각 계산기에는 계산기 규칙 목록이 포함되어 있으며, 이 목록을 적용할 시기를 결정하는 조건이 있습니다. 계산기를 실행하면 각 계산기 규칙의 조건이 순서대로 평가되고 첫 번째로 일치하는 계산기 규칙이 사용됩니다.
활성화된 모든 취약성 계산기는 AVI가 생성될 때마다 연결된 CI 또는 취약성이 변경될 때 선택한 필드를 설정합니다.
기본 위험은 기본적으로 활성화되어 있습니다. Advanced Risk 계산기는 기본적으로 비활성화되어 있습니다.
애플리케이션 취약성 계산기 규칙
기본 시스템 기본 위험 계산기 계산기에는 심각도를 기준으로 위험 점수 값(0-100)을 할당하는 각 심각도 수준(없음에서 심각까지)을 할당하는 계산기 규칙이 포함되어 있습니다. 알 수 없는 심각 도에는 위험 점수 100이 자동으로 할당됩니다. 이러한 값을 조정할 수 있으며, Advanced Risk 계산기와 마찬가지로 새 계산기 규칙이나 새 위험 규칙을 만들 수 있습니다.
- 취약성 심각도
- OWASP 상위 10개
- SAN 상위 25개
기본 위험 규칙에 사용할 값과 각 값에 지정할 가중치를 조정할 수 있습니다. 가중치는 위험 점수를 설정할 때 각 요소의 중요도를 조정하는 데 사용됩니다.
규칙마다 순서 설정이 있지만 조건을 충족하는 첫 번째 규칙이 AVI의 위험 점수 필드를 업데이트합니다. 일반적으로 스크립팅되지 않은 계산기 규칙은 스크립팅된 계산기 규칙보다 성능에 미치는 영향이 적습니다.
취약성 위험 점수 가중치
| 값(위험 등급) | 가중치(위험 점수) |
|---|---|
| 1 | 90–100 |
| 2 | 70–89 |
| 3 | 40–69 |
| 4 | 1–39 |
| 5 | 0 |
- 위험 등급 유형은 기본 테이블에 avr_risk_rating 상태로 제공됩니다. 이러한 유형은 위험 등급이 계산되는 각 테이블에 대한 비즈니스 규칙의 일부로 전달됩니다.
- 위험 등급 계산을 위해 위험 점수 가중치 테이블 값의 항목을 쿼리할 수 있도록 스크립트가 수정됩니다.
- 기존 유형에 대한 추가 항목을 추가하거나 새 유형을 만듭니다. 새 유형을 만들 때 새 위험 등급에 대한 레이블을 추가하고 관련 스크립트 및 비즈니스 규칙도 수정해야 합니다. 또한 새 위험 점수에 대한 새 스타일을 추가해야 합니다.
- 스크립트를 수정하여 기본 테이블의 기록을 쿼리합니다.
- CI(구성 항목)가 비인터넷 연결에서 인터넷 연결로 변경되는 경우
- VI(취약성 항목)에 연결된 CVE(Common Vulnerabilities and Exposures) 또는 TPE(타사 항목)가 CVE KEV(Known Exploit Vulnerability)에 연결된 경우.