Risiko in Application Vulnerability Response automatisch berechnen

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 4 Minuten Lesedauer

    • Anwendungsschwachstellen-Rechner automatisieren die Berechnung der anfänglichen Risikowerte für die Felder in angreifbaren Elementen der Anwendung (Application Vulnerable Items, AVIs). Risikoberechnungen bieten Einblicke in die Priorisierung der Problembehebung. Die Bedingung für jeden Rechner wird der Reihe nach ausgewertet, und der erste passende Rechner wird verwendet.

    Anwendungsschwachstellen-Rechner

    Das -BasissystemApplication Vulnerability Response enthält zwei Schwachstellen-Rechner, die die Basis-Risikopunktzahl für das angreifbare Anwendungselement festlegen.
    • Basisrisiko-Rechner
    • Rechner für erweitertes Risikomanagement

    Anwendungsschwachstellen-Rechner können so erstellt werden, dass sie mithilfe von Bedingungsfiltern die Auswirkungen von AVIs anhand beliebiger Kriterien priorisieren und bewerten. Unabhängig davon, ob es sich um die geschäftlichen Auswirkungen der Schwachstelle, die Klasse des Konfigurationselements (Configuration Item, CI) oder das Alter des AVI handelt, können Sie zusätzliche Schwachstellen-Rechner erstellen, um andere Felder in AVIs festzulegen. Oder Sie können die vorhandenen Schwachstellen-Rechner anpassen. Ein Rechner kann so geschrieben werden, dass er jeden Satz von Prioritäten widerspiegelt. Weitere Informationen finden Sie unter Filtern in Application Vulnerability Management.

    AVIs enthalten den von den Risikorechnern abgeleiteten Risikopunktzahlwert.
    Hinweis:
    Eine AVI zeigt den Quellenschweregrad, aber nicht den normalisierten Schweregrad an. Der normalisierte Schweregrad wird von den Rechnern verwendet, um den Wert der Risikopunktzahl zu erhalten, wird jedoch nicht in AVIs angezeigt.

    Jeder Rechner enthält eine Liste von Rechnerregeln, wobei eine Bedingung bestimmt, wann sie angewendet wird. Wenn der Rechner ausgeführt wird, wird die Bedingung für jede Rechnerregel der Reihe nach ausgewertet, und die erste passende Rechnerregel wird verwendet.

    Alle aktivierten Schwachstellen-Rechner legen die ausgewählten Felder jedes Mal fest, wenn ein AVI erstellt wird, wenn sich ein zugehöriges CI oder eine zugehörige Schwachstelle ändert.

    Der Rechner für das Basisrisiko berechnet die Risikopunktzahl für AVIs anhand des normalisierten Schwachstellenschweregrads.
    Hinweis:
    Pro Zielfeld (Risikopunktzahl) kann jeweils nur ein Rechner aktiv sein.

    Das Basisrisiko ist standardmäßig aktiviert. Der Rechner für erweitertes Risikomanagement ist standardmäßig inaktiv.

    Regeln des Anwendungsschwachstellen-Rechners

    Der Basisrisiko-Rechner des Basissystems enthält Rechnerregeln, die jedem Schweregrad (Keine bis Kritisch) einen Wert (0–100) für die Risikopunktzahl basierend auf dem Schweregrad zuweisen. DemSchweregrad „Unbekannt“ wird automatisch eine Risikopunktzahl von 100 zugewiesen. Diese Werte können angepasst werden, und wie beim erweiterten Risikorechnerkönnen neue Rechnerregeln oder neue Risikoregeln erstellt werden.
    Hinweis:
    Ab v23.0 von Application Vulnerability Responsewird bei jeder Aktualisierung der Risikopunktzahl für eine AVIT der Abschnitt „ Hinweise “ mit den folgenden Details aktualisiert:
    • Name der Rechnergruppe
    • Rechnername: Je nachdem, ob die Rechnerregel auf einer Vorlage oder einem Skript basiert, werden dem Namen die Details in Klammern angehängt. Um die Basis der Rechnerregel zu ändern oder anzuzeigen, wählen Sie eine beliebige Regel aus, und aktivieren Sie das Kontrollkästchen Erweiterte Ansicht. Wählen Sie im Dropdown-Feld Werttyp die gewünschte Option aus. Wenn Vorlage ausgewählt ist, wird die Risikopunktzahl gemäß der in der Regel angegebenen Bedingung aktualisiert. Wenn Skript ausgewählt ist, können Sie entweder das vorhandene Skript hinzufügen oder aktualisieren.
    Der Rechner für das erweiterte Risikomanagement des Basissystems enthält eine spezielle Regel für den Schwachstellen-Rechner namens Standardrisikoregel. Es berechnet die Risikopunktzahl basierend auf mehreren Werten:
    • Schwachstellenschweregrad
    • OWASP Top 10
    • SANS Top 25
    Sie können die Kriterien für die Standardrisikoregel anpassen. Weitere Informationen finden Sie unter Definieren Sie Felder und Gewichtungen für die Risikoregel.

    Sie können die Werte anpassen, die in der Standardrisikoregel verwendet werden sollen, und festlegen, wie viel Gewichtung jeder dieser Werte erhalten soll. Gewichtungen werden verwendet, um anzupassen, wie viel jedes Element beim Festlegen der Risikopunktzahlzählt.

    Jede Regel hat eine Einstellung für Reihenfolge. Die erste Regel, die den Bedingungen entspricht, aktualisiert jedoch das Feld Risikopunktzahl in der AVI. Rechnerregeln ohne Skript haben in der Regel weniger Auswirkungen auf die Leistung als Rechnerregeln mit Skript.

    Gewichtungen der Schwachstellen-Risikopunktzahl

    Allen Schwachstellen wird basierend auf Faktoren wie Schweregrad, Kritikalität, Exploit-Informationen usw. eine Risikopunktzahl und Bewertung zugewiesen. Die Geschäftsregel Update Risk Rating from Risk Score in der Tabelle der angreifbaren Elemente ist für die Berechnung der Risikobewertung verantwortlich. Immer wenn sich die Risikopunktzahl ändert, wird die Risikobewertung berechnet und für die angreifbaren Elemente ausgefüllt. Vor Version 17.1 der Anwendung Vulnerability Response (VR) wurden die folgenden Risikobewertungen als Teil der Skripteinbindung VulnerabilityUtilsbereitgestellt, die hartcodiert waren.
    Wert (Risikobewertung) Gewichtung (Risikopunktzahl)
    1 90–100
    2 70–89
    3 40–69
    4 1–39
    5 0
    Ab Version 18.0 von Vulnerability Response,
    • Die Risikoeinstufungstypen werden in der Basistabelle als avr_risk_rating geliefert. Diese Typen werden als Teil der Geschäftsregel in jeder Tabelle übergeben, in der die Risikoeinstufung berechnet wird.
    • Das Skript wird so geändert, dass Sie die Einträge in der Tabelle „Risikopunktzahlgewichtungen“ für die Berechnung der Risikoeinstufung abfragen können.
    • Fügen Sie zusätzliche Einträge für einen vorhandenen Typ hinzu, oder erstellen Sie einen neuen Typ. Wenn Sie einen neuen Typ erstellen, müssen Sie die Bezeichnungen für die neue Risikoeinstufung hinzufügen und auch die zugehörigen Skripts und Geschäftsregeln ändern. Sie müssen auch einen neuen Stil für die neue Risikopunktzahl hinzufügen.
    • Ändern Sie das Skript, um die Datensätze in der Basistabelle abzufragen.
    Sie können auf die Tabelle „Risikopunktzahlgewichtungen“ zugreifen, indem Sie im Filternavigator sn_sec_cmn_risk_score_weight eingeben.
    Darüber hinaus wird die Risikopunktzahl in den folgenden Szenarien automatisch neu berechnet:
    • Wenn ein Configuration Item (CI) von ohne Internetzugriff in mit Internetzugriff geändert wird.
    • Wenn die zugehörigen Common Vulnerabilities and Exposures (CVEs) oder Drittparteieinträge (TPEs) für die angreifbaren Elemente (VIs) mit einer Known Exploit Vulnerability (KEV) verknüpft sind.