다음에서 애플리케이션 취약성 대응 자동으로 위험 계산

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기4분

    • 애플리케이션 취약성 계산기는 애플리케이션 취약한 항목(AVI)의 필드에 대한 초기 위험 값 계산을 자동화합니다. 위험 계산은 정정 우선순위에 대한 통찰력을 제공합니다. 각 계산기의 조건이 순서대로 평가되고 첫 번째로 일치하는 계산기가 사용됩니다.

    애플리케이션 취약성 계산기

    애플리케이션 취약성 대응 기본 시스템에는 애플리케이션 취약한 항목에 대한 기본 위험 점수를 설정하는 2개의 취약성 계산기가 포함되어 있습니다.
    • 기본 위험 계산기
    • 고급 위험 계산기

    애플리케이션 취약성 계산기는 조건 필터를 사용하여 모든 기준에 따라 AVI의 영향의 우선순위를 지정하고 등급을 매기도록 구축할 수 있습니다. 취약성의 비즈니스 영향, CI(구성 항목)의 클래스 또는 AVI의 사용 기간 등 무엇이든 추가 취약성 계산기를 생성하여 AVI에 다른 필드를 설정할 수 있습니다. 또는 기존 취약성 계산기를 사용자 지정할 수 있습니다. 계산기는 모든 우선 순위 집합을 반영하도록 작성할 수 있습니다. 자세한 내용은 다음 내에서 필터링 애플리케이션 취약성 관리 문서를 참조하십시오.

    AVI에는 위험 계산기에서 파생된 위험 점수 값이 포함되어 있습니다.
    주:
    AVI는 소스 심각도를 표시하지만 정규화된 심각도는 표시하지 않습니다. 표준화된 심각도는 계산기에서 위험 점수 값을 가져오는 데 사용되지만 AVI에는 표시되지 않습니다.

    각 계산기에는 계산기 규칙 목록이 포함되어 있으며, 계산기 규칙 목록은 적용 시기를 결정하는 조건과 함께 제공됩니다. 계산기를 실행하면 각 계산기 규칙의 조건이 순서대로 평가되고 첫 번째로 일치하는 계산기 규칙이 사용됩니다.

    활성화된 모든 취약성 계산기는 연결된 CI 또는 취약성이 변경될 때 AVI가 생성될 때마다 선택된 필드를 설정합니다.

    기본 위험 계산기는 정규화된 취약성 심각도를 사용하여 AVI에 대한 위험 점수를 계산합니다.
    주:
    대상 필드(위험 점수)당 한 번에 하나의 계산기만 활성화할 수 있습니다.

    기본 위험은 기본적으로 활성화되어 있습니다. 고급 위험 계산기는 기본적으로 비활성 상태입니다.

    애플리케이션 취약성 계산기 규칙

    기본 시스템 기본 위험 계산기 계산기에는 심각도에 따른 위험 점수 값(0-100)을 각 심각도 수준(없음에서 중요)을 할당하는 계산기 규칙이 포함되어 있습니다. 알 수 없는 심각 도에는 위험 점수 100이 자동으로 할당됩니다. 이러한 값은 조정할 수 있으며 고급 위험 계산기와 마찬가지로 새 계산기 규칙이나 새 위험 규칙을 만들 수 있습니다.
    주:
    의 v23.0 애플리케이션 취약성 대응부터 AVIT에서 위험 점수가 업데이트될 때마다 메모 섹션이 다음 상세 정보로 업데이트됩니다.
    • 계산기 그룹 이름
    • 계산기 이름: 계산기 규칙이 템플릿을 기반으로 하는지 아니면 스크립트를 기반으로 하는지에 따라 이름에 괄호 안에 세부 정보가 추가됩니다. 계산기 규칙의 기준을 수정하거나 보려면 아무 규칙이나 선택하고 고급 뷰 확인란을 선택합니다. 값 유형 드롭다운 상자에서 필요한 옵션을 선택합니다. 템플릿을 선택하면 규칙의 지정된 조건에 따라 위험 점수가 업데이트됩니다. 스크립트를 선택하면 기존 스크립트를 추가하거나 업데이트할 수 있습니다.
    기본 시스템 고급 위험 계산기 계산기에는 기본 위험 규칙이라는 특수 취약성 계산기 규칙이 포함되어 있습니다. 여러 값을 기반으로 위험 점수를 계산합니다.
    • 취약성 심각도
    • OWASP 상위 10개
    • SAN 상위 25개
    기본 위험 규칙의 기준을 사용자 지정할 수 있습니다. 자세한 내용은 위험 규칙에 대한 필드와 가중치 정의 문서를 참조하십시오.

    기본 위험 규칙에 사용할 값과 각 값에 지정할 가중치를 조정할 수 있습니다. 가중치는 위험 점수를 설정할 때 각 요소의 중요도를 조정하는 데 사용됩니다.

    각 규칙에는 순서 설정이 있지만 조건과 일치하는 첫 번째 규칙이 AVI의 위험 점수 필드를 업데이트합니다. 스크립팅되지 않은 계산기 규칙은 일반적으로 스크립팅된 계산기 규칙보다 성능에 미치는 영향이 적습니다.

    취약성 위험 점수 가중치

    모든 취약성에는 심각도, 중요도, 익스플로잇 정보 등의 요인에 따라 위험 점수 및 등급이 할당됩니다. 취약한 항목 테이블의 비즈니스 규칙이 Update Risk Rating from Risk Score 위험 등급을 계산합니다. 위험 점수가 바뀔 때마다 위험 등급이 계산되어 취약한 항목에 채워집니다. (VR) 애플리케이션 버전 17.1 취약성 대응 이전에는 하드 코딩된 VulnerabilityUtils를 포함하는 스크립트의 일부로 다음 위험 등급이 제공되었습니다.
    값(위험 등급) 가중치(위험 점수)
    1 90–100
    2 70–89
    3 40–69
    4 1–39
    5 0
    의 18.0 버전 취약성 대응부터,
    • 위험 등급 유형은 기본 테이블에 avr_risk_rating 상태로 제공됩니다. 이러한 유형은 위험 등급이 계산되는 각 테이블에서 비즈니스 규칙의 일부로 전달됩니다.
    • 위험 등급 계산을 위해 위험 점수 가중치 테이블 값의 항목을 쿼리할 수 있도록 스크립트가 수정되었습니다.
    • 기존 유형에 대한 항목을 추가하거나 새 유형을 만듭니다. 새 유형을 만들 때는 새 위험 등급에 대한 레이블을 추가하고 관련 스크립트 및 비즈니스 규칙도 수정해야 합니다. 또한 새 위험 점수에 대한 새 스타일을 추가해야 합니다.
    • 스크립트를 수정하여 기본 테이블의 기록을 쿼리합니다.
    필터 탐색기에 sn_sec_cmn_risk_score_weight 입력하여 위험 점수 가중치 테이블에 액세스할 수 있습니다.
    또한 위험 점수는 다음과 같은 시나리오에서 자동으로 다시 계산됩니다.
    • CI(구성 항목)가 비인터넷 연결에서 인터넷 연결로 변경되는 경우
    • 취약성 항목(VI)에 연결된 CVE(Common Vulnerabilities and Exposures) 또는 TPE(타사 항목)가 CVE Known Exploit Vulnerability(KEV)에 연결된 경우.